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内 容 简 介 


“从 实战 出 发 "是 本 书 的 编写 基础 ;“ 学 以 致 用 ”是 本 书 的 根本 目标 。 本 书 按照 电子 数据 取证 的 学 习 和 
实践 规律 ,按照 技术 和 法 律 并 重 的 编写 思路 ,将 “实践 ”与 “理论 ”完美 地 进行 结合 。 

本 书 的 主要 内 容 包 括 Windows、Mac OS、UNIX/Linux. 移 动 终端 ,网 络 数据 取证 的 基本 知识 和 取证 技 
术 、 电 子 数据 取证 的 相关 法 律 规则 和 标准 ,基本 涵盖 了 电子 数据 取证 的 所 有 方面 ; 同时 以 实战 出 发 ,对 于 电 
子 数 据 现 场 勘 验 .鉴定 和 检验 .实验 室 建设 与 认可 等 进行 深入 阐述 ,最 后 辅 以 真实 案例 ,提出 各 种 网 络 案件 
的 取证 思路 和 过 程 。 目 的 是 培养 电子 数据 取证 的 能 力 。 

本 书 作者 均 为 国内 具有 丰富 实战 经 验 的 专家 和 公安 院 校 具 有 深厚 理论 知识 的 老师 。 本 书 内 容 为 业内 
领先 和 成 熟 的 知识 和 技术 ,涵盖 了 目前 最 领先 的 电子 数据 取证 技术 ,力求 传递 给 读者 最 新 和 最 实用 的 技术 
和 方法 。 

本 书 融合 了 电子 数据 取证 理论 和 实践 的 最 新 成 果 , 是 一 本 理论 扎实 操作 性 强 的 教材 。 本 书 适合 作为 
高 等 院 校 信息 安 全 、 网 络 犯 罪 侦查 、 网 络 安全 、 侦 查 学 等 专业 的 研究 生 、 本 科 生 、 双 学 位 学 生 的 授课 教材 或 
者 参考 书 , 也 可 以 作为 公安 机 关 、 检 察 机 关 、 海 关 缉私 等 执法 部 门 培训 教材 和 网 络 安全 从 业 人 员 的 参考 书 。 
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丛书 汪 


期 待 已 久 的 由 李 饥 同志 主编 的 4 公安 院 校 招 录 培 养 体制 改 早 试点 专业 系列 教材 》 终 于 出 
版 了 ! 该 系列 教材 是 我 国 第 一 僚 计 算 机 犯罪 侦查 专业 系列 教材 , 它 的 出 版 解决 了 国内 相关 
院 校 教师 与 学 生 急 需 的 教科 书 问题 ,也 为 从 事 信息 安全 专业 和 侦查 执法 人 员 提 供 一 套 极 有 
价值 的 参考 丛书 。 这 实 属 一 件 可 豆 可 费 的 事 ! 

由 于 信息 技术 空前 迅速 的 发 展 , 极 具 挑战 的 计算 机 网 络 空间 形成 了 一 个 变幻 无 穷 的 虚拟 
空间 。 现 实 社 会 中 的 犯罪 越 来 越 多 地 涉及 计算 机 、 手 机 等 工具 ,各 种 数字 技术 与 网 络 虚拟 空间 
的 交汇 ,使 计算 机 犯罪 侦查 拉 术 变 得 空前 重要 与 案 迫 。 从 20 世纪 90 年 代 兴 起 的 数字 取证 调 
碍 , 消 现 出 各 种 各 样 的 技术 和 工具 ,使 得 数字 取证 成 为 计算 机 专业 的 一 门 新 兴学 科 。 国 际 上 的 一 
些 大 学 近年 来 已 设置 了 专门 的 系 和 人 研 究 生 学 位 的 授 了 ,为 计算 机 犯罪 侦查 的 教学 内 容 增 添 了 丰 
融 而 又 精彩 的 情景 。 他 山 之 石 可 以 攻 玉 ,许多 技术 和 教材 可 以 伟 鉴 ,但 数字 取证 牵涉 到 法 学 法 
规 ,各 国 的 国情 不 尽 相 同 ,唯一 的 解决 办 法 就 是 必须 目 主 创新 、 搂 写 适 合 国内 需要 的 相应 教材 。 

面临 这 一 劈 山 开路 的 挑战 ,本 教材 从 专业 的 技术 层面 为 国内 的 本 科 生 符 试 提供 全 面 的 
教学 培训 ,内 容 包括 了 从 互联 网 体系 结构 原理 到 电子 商务 应 用 与 各 种 法 规 , 以 及 计算 机 网 络 
攻防 技术 与 信息 系统 安全 等 级 保护 与 管理 等 基础 知识 ,重点 围 纸 着 计 算 机 犯罪 调查 的 手段 、 
工具 与 方法 以 及 数据 证 据 的 分 析 与 鉴定 等 基础 知识 ; 教材 注重 在 传授 理论 知识 的 同时 , 强 
化 面 加 实战 能 力 的 培训 ,全 套 教 材 既 适应 了 学 科 特 点 又 考 夸 到 学 生 层 次 的 具体 情况 ,处 处 反 
映 出 作者 们 的 精心 思索 。 

本 系列 教材 参 编 的 作者 全 部 来 日 辽 宁 和 警官 高 等 专科 学 校 的 师资 队伍 ,该 校 地 处 辽东 半 
岛 , 面 星 蓝 色 的 大 海 ,大 浪 淘 沙 涌 现 一 批 时 代 的 人 杰 。 庄 严整 洁 的 校园 具有 公安 教育 突 出 的 
特色 ,更 为 可 吐 的 是 他 们 倡 守 教学 、 科 人 研 、 索 务实 践 崇 密 结 合 , 不 断 创 新 教学 模式 的 一 贯 校 
风 , 每 年 从 那里 培养 出 大 量 信息 时 代 专 业 特 色 明 显 、 创 新 能 力 强 的 人 才 队 伍 。 本 玛 系 列 教材 
的 出 版 充分 体现 了 该 校 的 学 术 水 平 与 精神 面 肚 ,尤其 映射 出 参 编 作 者 们 拥有 第 一 线 黄 浴 的 
教学 经 验 和 扎实 的 实际 专业 知识 ,以 及 始终 保持 一 股 符 发 上 进 、 开 折 创 新 的 风范 。 我 在 此 由 
庄 地 对 本 教材 的 出 版 表示 祝 贯 ,并 预 祝 他 们 再 接 再 历 ,取得 更 加 辉 烛 的 成 功 ! 


i 了 和 覆 守 


2012-6 写 于 北京 


本 书 “ 襄 


随 着 网 络 犯罪 活动 的 日 益 猩 狐 和 不 断 升 级 ,网 络 安全 得 到 了 国际 和 国内 社会 的 高 度 关 
注 。 电 子 数据 取证 作为 网 络 安全 的 重要 组 成 部 分 ,在 获取 犯罪 证 据 、 打 击 网 络 犯 罪 起 到 不 可 
蔡 代 的 作用 。 

人 类 从 “ 神 证 ”“ 人 证 ”时 代 到 今天 的 “物证 ”时 代 , 在 信息 化 的 大 趋势 下 ,未 来 将 进入 “ 电 
子 数据 ”的 时 代 。 电 子 数 据 已 经 在 新 刑 诉 法 和 民 诉 法 中 明确 作为 证 据 类 型 之 一 ,是 新 的 “证 
据 之 王 ”。 电 子 数据 取证 在 公安 \ 海 天 、 工 商 等 执法 部 门 已 经 成 为 重要 的 专业 技术 ; 高 校 .学 
术 团 体 也 在 积极 开展 电子 数据 取证 的 相关 研究。 电子 数据 取证 工作 涉及 领域 广泛 ,技术 标 
准 严格 ,对 于 电子 数据 取证 人 员 的 学 科 背 景 和 专业 技能 提出 了 较 高 要 求 。 为 了 适应 形势 的 
挑战 ,人 迫切 需要 加 强 电 子 数据 取证 人 才 的 培养 ,以 维护 网 络 环境 的 稳定 和 经 济 社会 的 发 展 。 

本 书 将 “实践 ”与 “理论 ”完美 地 进行 结合 ,主要 有 以 下 特点 : 

1. 知识 体系 完整 结构 合理 

本 书 悍 循 电 子 数 据 取 证 的 学 习 和 实践 规律 ,按照 拷 术 和 法 律 并 重 的 编号 思路 。 从 网 络 
安全 和 网 络 犯 罪 的 基本 概念 和 形势 出 发 ; 前 述 有 关 电 子 数据 取证 相关 的 法 律 和 法 规 ; 介绍 
了 包括 Windows、Mac OS、UNIXVLinux、 移 动 终端 的 基本 台 识 和 取证 技术 , 洱 兰 了 电子 数 
据 取 证 的 所 有 方面 ; 同时 以 实际 出 发 ,重点 讲述 现场 勘 验 .鉴定 和 检验 实验 室 建 设 与 认可 ， 
最 后 辅 以 真实 案例 ,提出 各 种 网 络 案件 的 取证 思路 和 过 程 , 目 的 是 培养 电子 数据 取证 的 
能 力 。 

2. 实用 性 强 、. 具有 很 强 的 操作 性 

本 书 仍 求 " 真 实 ? 呈 现 电 子 数据 取证 的 技术 和 方法 。 力 求 将 次 奥 和 复杂 的 电子 数据 取证 
知识 以 通俗 易 懂 的 语言 .简洁 明了 的 结构 ,深入 浅 出 地 阐述 出 来 。 同 时 要 求 整体 内 容 具 有 
“可 复 现 "性 ,通过 讲解 技术 内 攻 , 辅 以 工具 使 用 ,能 够 重 现 取 证 过 程 和 结果 。 力 求 做 到 理论 
与 实践 相 结合 。 

3. 技术 领先 .内容 深 入 .引导 未 来 的 发 展 方向 

本 书 的 内 容 为 业内 领先 和 成 熟 的 技术 , 抛 茎 过 时 的 技术 和 方法 ,力求 不 “ 误 人 子 蔽 *。 业 
内 的 电子 数据 取证 专家 将 丰富 的 实战 经 验 和 技术 呈现 在 教材 中 ,力求 传递 给 读者 最 新 和 最 
实用 的 技术 和 方法 。 针 对 难点 问题 ,例如 电子 数据 鉴定 和 检验 ,实验 室 建设 和 认可 ,都 做 了 
最 权威 的 前 述 。 同 时 对 于 电子 数据 取证 的 未 来 发 展 趋势 ,也 做 了 前 脆性 的 展望 。 


4 电子 数据 取证 
本 书 主 要 由 执法 行业 的 专家 和 公安 院 校 的 学 者 共同 完成 。 通 读本 书 , 能 够 感觉 他 们 在 
繁重 的 工作 之 余 ,次 下 心 来 ,本 着 为 读者 钙 责 的 态度 认真 氛 写 ,将 多 年 的 技术 和 经 验 奉 献 在 
本 教材 中 , 实 属 不 吻 ! 在 此 ,我 由 囊 地 对 本 教材 的 顺利 出 版 表示 视 凡 ,并 预 视 他 们 再 接 髓 历 ， 
取得 更 加 辉 焊 的 成 功 。 
许 剑 单 
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近年 来 , 随 大 我国 网 络 安全 的 需要 ,电子 数据 取证 在 我 国 得 到 了 较 快 的 发 展 , 茶 些 领域 
已经 与 世界 水 平 比肩 。 电 子 数据 取证 在 打击 网 络 犯 罪 、 营 造 网 络 良好 安全 环境 起 到 不 可 或 
缺 的 作用 。 电 子 数 据 取 证 是 一 个 相对 “小 众 ” 的 行业 。 也 是 一 个 高 度 依赖 “ 个 人 能 力 ” 的 工 
作 , 对 从 业 人 员 的 知识 体系 和 经 验 要 求 极 高 。 可 以 说 ,电子 数据 取证 人 员 是 网 络 安全 行业 中 
的 佼佼 者 。 

我 很 采 六 能够 赶 上 这 个 时 代 。 我 从 事 网 络 安全 工作 十 四 年 ,将 最 美好 的 青春 奉献 给 了 
这 个 事业 ,并 为 之 和 目 紧 。 在 这 里 ,我 学 到 的 不 仅 是 电子 数据 取证 技术 ,而且 将 法 律 作 为 信仰 ， 
将 职业 作为 理想 ,更 遇 到 了 一 批 与 我 拥有 共同 梦想 的 优秀 人 才 。 

早 在 2007 年 ,我 就 曾经 与 辽宁 省 警察 学 院 的 米 佳 校长 联合 出 版 过 专著 《计算 机 取证 技 
术 》, 是 国内 首 批 电子 数据 取证 专业 教材 之 一 。 但 是 ,技术 的 前 进 如 此 迅速 以 至 于 那 本 书 的 
内 容 经 受 着 实践 的 严峻 考验 ,很 多 以 前 不 可 能 取证 的 数据 现在 会 变 得 易 如 反 筷 , 而 当时 成 熟 
的 取证 方法 会 因为 技术 的 进步 而 变 得 过 时 。 电 子 数据 取证 对 象 , 已 经 从 Windows 操作 系统 
扩展 到 包含 Windows、Mac OS、UNIX/Linux、 移 动 终端 甚至 定制 操作 系统 的 数据 ; 从 简单 
的 文件 过 滤 、 搜 索 深 入 到 密码 破解 .数据 挖掘 和 元 数据 分 析 等 具有 相当 深度 的 层面 。 无 论 是 
“广度 ”还 是 “深度 ”, 电 子 数据 取证 已 经 成 为 网 络 安 全 行业 中 要 求 较 高 的 学 科 。 电 子 数 据 取 
证 相关 人 才 的 缺乏 和 网 络 安 全 行业 的 迫切 需要 形成 了 歼 盾 。 因 此 ,如 果 能 将 国内 顶尖 的 电 
子 数 据 取 证 的 专家 .学 者 聚集 起 来 ,按照 各 目 专 长 写 出 一 部 理论 与 实践 充分 结合 的 教材 , 培 
养 出 更 多 的 优秀 人 才 , 可 以 极 大 地 缓解 我 国 网 络 安全 行业 的 迫切 需要 。 

本 书 是 一 部 "诚意 之 作 ”, 也 是 一 部 "实力 之 作 ”。 对 于 参与 本 书 的 诸位 作者 来 说 ,将 目 己 
的 技术 和 经 验 传授 给 大 家 ,与 在 第 一 线 同 犯 罪 分 子 进行 斗争 一 样 有 意义 。 本 书 由 国内 多 位 
专家 .学 者 编写 ,他们 分 布 于 公安 .检察 .行业 公司 ,在 技术 方面 是 行业 的 领头 人 。 诸 位 作者 
训 无 保留 地 将 宝 贯 的 技术 和 经 验 奉 献 给 本 书 , 涵 兰 了 电子 数据 取证 的 所 有 方面 ,每 个 数据 都 
进行 了 详细 考证 ,列举 的 工具 均 为 具有 实战 意义 的 工具 ,使 用 的 案例 均 为 具有 代表 性 的 真实 
和 案例。 因此 ,本 书 代 表 了 电子 数据 取证 的 最 新 技术 和 未 来 发 展 趋势 。 

对 于 网 络 犯罪 侦查 或 电子 数据 取证 ,由 于 信息 系统 的 复杂 性 ,每 一 个 案 ( 事 ) 件 都 是 独 一 
无 二 的 ,侦查 取证 人 员 都 必须 从 实际 出 发 来 制定 相应 的 处 置 方法 。 但 是 本 书 并 不 是 一 部 百 
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科 全 书 ,也 不 是 操作 手册 ,不 能 完全 解决 所 有 的 问题 或 者 建立 一 个 万 能 的 规则 ,而 是 技术 与 
经 验 结合 之 谈 。 目 的 是 帮助 电子 数据 取证 人 员 建 立 目 己 的 取证 原则 技术 和 流程 。 硕 望 谈 
者 通过 本 书 能 够 深入 学 习 电 子 数据 取证 ,如 果 能 够 举一反三 ,成 为 此 行业 的 “大 牛 ”, 那 更 是 
我 们 作者 的 菏 竺 。 

本 书 的 特点 不 是 简单 的 理论 堆积 和 令 人 厌烦 的 说 教 , 而 是 第 一 次 全 面 地 完整 星 现 取 证 
的 知识 体系 ; 第 一 次 深入 地 讲解 取证 的 技术 原理 ; 第 一 次 从 法 律 规则 角度 出 发 ,将 法 律 与 
技术 紧密 融合 。 本 书 最 终 的 目的 为 “ 源 于 实战 .高 于 实战 . 引 叶 实战 ”。 

本 书 由 刘 洛 阳 . 李 锦 、 刘 晓 衬 任 主编 , 罪 马 剑 、 程 圾 .和 董 健 、 愉 明 发 、 田 庆 宜 任 副 主编 。 徐 
志 强 \、 陆 道 宏 、 吝 永 健 、 毕 连城 、 赵 方圆 . 段 涵 碧 等 为 编者 。 作 者 信息 如 下 : 

主编 : 刘 浩 阳 , 男 ,人 研究 生 学 历 , 大 连 市 公安 局 网 络 安 
全 保卫 文 队 七 大 队 大 队长 .大 连 市 公安 局 电子 物证 检验 鉴 
定 实 验 室 主 任 、 公 安 部 网 络 便 查 专家 ,全 国 刑 事 技 术 标 准 化 
技术 委员 会 电子 物证 分 技术 委员 会 专家 .中国 合格 评定 国 
家 委员 会 评审 员 .辽宁 省 警察 学 院 客 座 老 师 .大 连 市 五 一 拖 
动 奖章 获得 者 。 出 版 专著 《计算 机 取证 技术 》; 公安 院 校 本 
科 统 编 教 材 4 电 子 数据 检验 技术 与 应 用 》 副 主编 《电子 数据 
勤 查 取 证 与 鉴定 (数据 恢复 与 取证 )》 副 主编 .所 写 论 文 10 
余 篇 ; 拥有 国家 专利 一 项 

主编 : 至 饥 , 女 ， 辽宁 警察 学 院 / Y 安 信息 系 主 任 , 硕 
士 ,教授 ,二 级 警 监 , 和 人 选 “ 了 辽宁 省 百 千 万 人 才 工 程 千 人 必 
次 ”大 连 市 “三 育 人 ”先进 个 人 。 主 持 参 与 省 部 级 教科 人 研 项 
日 十 余 项 ,市 厅 及 项 目 十 余 项 ,撰写 论文 10 余 篇 ,其 中 多 访 
论文 被 EI 收录 。 主 要 研究 方 问 : 网 络 安全 与 计算 机 犯罪 
侦查 

主编 刘晓宇 , 男 ,公安 部 网 络 安全 保卫 局 研 发 中 心 勘 
查 取 证 处 处 长 .全国 刑 事 技术 标准 技术 委员 会 电子 物证 分 
技术 委员 会 专家 组 组 长 .中 国 合格 评定 国家 认可 委员 会 信 
息 技 术 专 业 委 员 会 委员 。 电 子 数 据 取 证 技术 实战 化 发 展 的 
引领 者 ,主持 了 公安 机 关 网 安 部 门 计算 机 、 手 机 、 分 布 式 等 
一 系列 取证 技术 和 系统 的 研究 与 开发 ,组 织 起 和 草 制 定 了 一 
系列 的 电子 数据 取证 相关 技术 标准 ,指导 并 参与 了 全 国 公 
安 机 关 网 络 安全 部 门 一 系列 重 、 大 、 要 案 的 侦查 与 电子 数据 
勘查 取证 工作 。 


副 主 编 : 韩 马 剑 , 男 ,河北 省 公安 厅 网 络 安全 保卫 上 总队 
电子 数据 鉴定 文 队 文 队长 ,公安 部 网 络 侦 查 专 冢 。 从 事 电 
子 数据 取证 工作 10 余年 ,在 网 络 案件 侦查 和 电子 数据 取证 
工作 方面 共有 较 深 的 造 语 ,侦办 了 多 起 重大 黑客 攻击 、 网 络 
赔 博 、 网 络 淫 秘 色情 案件 。 


副 主编 : 程 乔 , 男 ,工学 、 法 学 双 学 士 。 安 徽 省 公安 厅 
电子 数据 鉴定 实验 室 技术 负责 人 ,公安 部 网 络 侦查 专家 ， 
(电子 数据 勘查 取证 与 鉴定 (电子 证 据 搜索 )) 副 主编 。 


副 主编 : 革 健 , 男 , 副 人 研究员, 毕业 于 中 国人 民 公 安 大 
学 。 国 内 痛 届 计算 机 物证 专业 硕士 \ 博 士 , 公 安 部 网 络 侦查 
专家 ,信息 网 络 安 全 公安 部 重点 实验 室 专 家 。 现 任职 于 公 
安 部 第 三 人 研究 了 所、 公安 部 网 络 拉 术 人 研发 中 心 、 信 息 网 络 安全 
公安 部 重点 实验 室 、 国 家 反 计 算 机 和 人 侵 和 防 病毒 全 究 中 心 ， 
曾 任 山东 省 公安 厅 网 络 案件 侦查 文 队长 ,从 事 网 络 案件 侦 
查 .电子 证 据 勘 验 鉴定 .网 络 安全 科研 工作 十 余年 ,参与 国 
家 “十 二 五 “十 三 五 ”相关 科 人 研 项 目 , 承 担 公 安 部 重点 和 国 
冢 级 科研 诛 题 多 项 。 


副 主编 : 翟 嘱 飞 , 忆 ,公安 部 网 络 侦 查 专 家 ,公安 部 网 
络 安 全 你 卫 局 电子 数据 取证 实验 室 技 术 负 责 人 、 授 权 等 字 
人 ,中 国 合格 评定 国家 认可 委员 会 评审 员 , 具 有 丰 曙 电子 数 
据 取 证 工作 经 验 , 曾 参加 多 起 具有 国际 影 啊 力 和 国内 重 特 
大 案件 的 便 办 工作 ,多 次 参加 电子 数据 有 天 司 法 解释 、 法 律 
法 规 的 制定 工作 ,主持 修订 公安 机 关 电 子 数 据 取 证 有 关 
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副 主编 : 田 庆 宜 , 男 ,高 级 工程 师 , 公 安 部 网 络 侦 查 专 
家 、 全 国 刑 事 技 术 标 准 化 技术 委员 会 电子 物证 分 拉 术 委员 
会 专家 .重庆 市 " 反 合 专 家 ”, 参 与 编写 多 个 取证 相关 技术 标 
准 及 专 着 2 部 ,领衔 负责 各 级 科研 项 目 20 余 项 ,参加 一 系 
列 重 特大 案件 ,多 次 立功 受奖 ,具有 让 是 的 实战 经 验 。 


编者 : 徐 志 强 , 男 ,美亚 柏 科 企 业 电 子 数据 取证 事业 部 
总 经 理 ,兼任 美亚 相 科 技术 专家 委员 会 首席 技术 专家 ,拥有 
近 10 年 电子 数据 取证 从 业经 验 。 江 西 警察 学 院 计 算 机 犯 
罪 研 究 中 心 特 聘 人 研究员 福建 省 公共 网 络 信 息 安全 协会 专 
家 组 专家 、 中 国 刑警 学 院 客 座 讲师 。 拥 有 多 年 电子 数据 取 
证 教学 及 案件 调查 经 验 , 市 领 团队 创立 国内 首 个 电子 数据 
取证 调查 员 (MCE) 培 训 及 认证 体系 。 主 编 《 电 子 证 据 提 取 
与 分 析 兴 数据 恢复 与 取证 兴 手 机 取证 技术 兴 信 息 加 解密 
技术 》。 


编者 : 陆 道 安 , 忆 , 上 海难 连 网 络 科技 有 限 公 司 总 经 
理 , 国 内 第 一 代 电 子 数据 取证 从 业者 。 开 发 了 一 系列 电子 
数据 取证 专用 工具 ,在 介质 手机、 服务 闫 和 网 络 取证 等 众 
多 领域 具有 这 和 人 的 研究, 电 于 数据 司法 鉴定 人 。 


编者 : 郭 永 健 , 男 ,香港 资讯 保安 及 法 证 公会 (ISFS) 中 
国 大 区 联络 官 ,国际 高 科技 犯罪 调查 协会 (HTCIA) 亚 太 区 
分 会 中 国联 络 官 ,中 国电 子 学 会 计算 机 取证 专家 、 委 员 会 委 
员 ,中 国政 法 大 学 法 务 会 计 研 究 中 心 客座 研究 员 。CCFC 
计算 机 法 证 技术 峰会 的 发 起 人 ,中 国 计 算 机 取证 技术 的 国 
际 交 流 和 发 展 的 积极 推动 者 。 


编者 : 是 连城 , 男 , 大 连 市 人 民 检 察 院 技术 处 副 处 长 、 
全 国 检察 机 关 “* 信 息 扩 术 专 冢 "。 主 持 2 项 大 连 市 科研 立 
项 ,发 表 省 级 、 国 家 级 论文 10 余 篇 。 


编者 : 赵 方 圆 , 女 ,在 谈 博 十 研究 生 ,潍坊 市 公安 局 网 
安 文 队 四 大 队 大 队长 ,公安 部 网 络 安全 专家 ,山东 省 公安 厅 
电子 数据 取证 党 队 队 员 , 潍 坊 市 霍 官 培训 基地 有 菲 职 教官 。 
主持 参与 多 项 科 人 研 项 目 , 其 中 获 山 东 和 省 公安 机 关 科 技 进 步 
二 等 奖 一 项 ,入 选 公 安 部 应 用 创新 计划 一 项 。 


编者 : 段 润 瑞 , 男 ,新疆 维吾尔 目 治 区 公安 厅 网 络 安全 
你 卫 总 队 索 件 侦查 队 队 长 。 遍 级 工程 师 、 公 安 部 网 络 侦查 
专家 ,全 国 刑事 拉 术 标准 化 委员 会 电子 物证 检验 分 技术 委 
员 会 委员 。 参 与 了 一 系列 电子 物证 检验 规范 的 制定 工作 。 
工作 17 年 来 下 接 参与 了 一 批 大 要 和 案 的 侦查 取证 和 检验 鉴 
定 工 作 , 为 便 查 破 条 提供 了 确实 有 效 的 证 据 。 拉 瑟 的 多 访 
论文 发 表 在 《中国 刑事 警察 》 等 国家 级 和 省 部 级 刊物 上 。 


编者 : 崔 立 成 , 男 , 讲 师 ,博士 研究 生 , 辽 于 警察 学 院 公 
安信 息 系 从 事 电子 取证 研究 与 教学 工作 。 


编者 : 刘建军 , 男 ,硕士 ,工程 师 , 南 京 市 公安 局 网 络 安 
全 保卫 支队 副 大 队长 ,侦办 多 起 重 特大 涉 网 案件 ,荣获 全 国 
公安 机 关 优 秀 专业 技术 人 才 奖 ， 
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编者 : 葛 军 , 男 ,就职 于 安徽 天 达 网 络 科技 有 限 公司 。 
“ 灰 钥 子 " 远 程控 制 软 件 的 作者 。 现 致力 于 网 络 安全 事业 ， 
主要 研究 恶意 程序 代码 的 取证 。 


编者 : 潘 光 诚 , 男 , 山 东 省 公安 厅 网 安 总 队 五 文 队 文 队 
长 .电子 数据 检验 鉴定 中 心 质量 主管 .公安 部 网 络 侦查 专 
家 .CNAS 授权 签字 人 。 曾 获 山东 省 科技 进步 二 等 奖 1 项 ， 
山东 省 公安 机 关 科 技 进步 二 等 奖 2 项 ,三 等 奖 2 项。 承担 
公安 机 关 科 技 攻 关 2 项。 多 次 组 织 指导 全 省 重 特大 案件 侦 
破 及 取证 工作 。 


编者 : 张狂 , 男 , 国 家 计算 机 病毒 应 急 处 理 中 心 应 急 部 
部 长 ,硕士 ,高 级 工程 师 , 公 安 部 网 络 安 全 专家 组 专家 。 从 
事 网 络 安 全 恶意 代码 分 析 工 作 10 余年 ,协助 破获 “能 猫 烧 
香 ” 等 重大 网 络 犯罪 案件 20 余 起 ,出 具 各 类 分 析 鉴 定 报告 
30 余 份 , 参 予 多 项 省 部 科研 项 目 和 行业 标准 ,撰写 论文 10 
余 篇 。 


编者 : 胡 武 宏 , 男 ,1997 年 毕业 于 中 国人 民 冤 官 大 学 ， 
2006 年 获得 复旦 大 学 软件 工程 硕士 (MSE) 学 位 。 现 就 职 
于 安徽 省 公安 厅 电 子 数据 鉴定 中 心 。 


其 中 ,主编 刘 浩 阳 人 负责 全 书 的 架构 设计 和 内 容 统 编 ,并 编写 了 第 1 章 、 第 2 和 曹 中 的 
第 2.11.1、2.11.2、2.13 节 ,第 3 章 、 第 4 章 、 第 5 章 、 第 6 章 中 的 第 6.1、6. 2.1、6. 2.2、 
6.2.3、6.2.4、6.8,、6.9.,6.13,6.14 市 ,第 7 半 、 第 8 半 , 第 9 半 , 第 10 章 ,第 11 半 ; 李 锦 编 写 
了 第 2 章 中 的 第 2.14 节 、 第 6 章 中 的 第 6.7 节 ; 刘晓宇 编写 了 第 1 章 ; 韩 马 剑 编写 了 第 
2 章 中 的 第 2.6、2.12 节 ,第 6 章 中 的 第 6.11.6. 12 节 ; 程 替 编写 了 第 6 章 中 的 第 6. 2. 8、 
6.6 节 ; 董 健 编写 了 第 7 章 ; 翟 晓 飞 编写 了 第 7 章 ; 田 庆 宜 编 写 了 第 3 章 ; 徐 志 强 编 写 了 
第 2 章 中 的 第 2.9 节 、 第 6 音 中 的 第 6. 2.2.6.4 节 ; 陆 道 宏 编 写 了 第 2 章 中 的 第 2. 11. 3、 
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2.11.4 节 第 6 章 中 的 第 6.2.6、6.2.7.6.4 节 ; 郭 永 健 编写 了 第 6 章 中 的 第 6. 3 节 ; 毕 连 
城 编 写 了 第 4 草 ; 赵 方圆 编写 了 第 2 章 中 的 第 2.6 一 2.8、2. 10 市 .第 11 章 中 的 第 11. 2、 
11. 3 节 ; 有 段 涵 瑞 编写 了 第 7 章 ; 内 立成 编写 了 第 2 章 中 的 2.1 一 2.4 贡 ;刘建军 编 与 了 第 
11 草 中 的 第 11.1、11.6 贡 ; 马车 编写 了 第 6 章 中 的 第 6. 10 市 ; 潘 光 诚 编写 了 第 4 草 ; 张 春 
编写 了 第 11 草 中 的 第 11.4 市 ; 胡 武 宏 编 写 了 第 2 关中 的 第 2.5 节 。 

本 书 不 包含 任何 涉 密 内 容 , 使 用 的 工具 均 为 商业 版 或 者 开源 免费 版 本 。 

行文 仓促 ,不 免 有 丝 漏 之 处 ,欢迎 谈 者 提出 宝贵 意见 ,请 发 到 dzsjqz(@163. com 邮箱 。 

感谢 辽宁 省 警察 学 院 信 息 安 全 系 李 锦 主 任 和 公安 部 十 一 局 研发 中 心 刘 晓 宇 处 长 的 帮助 
指导 、 感谢 帮助 我 们 成 长 的 各 位 家 人 、 领 导 和 战友 。 感 谢 公 安 部 十 一 局 大连 市 公安 局 .河北 
省 公安 厅 .安徽 省 公安 厅 等 多 地 部 门 和 中 国 合 格 评定 国家 认可 委员 会 的 文 持 。 感 谢 郭 叹 、 黄 
道 是 、. 唐 丹 丹 、 王 彦 斌 、 胡 海洋 老师 为 此 书 提 出 的 宝贵 意见 。 感 谢 诸 位 专家 学 者 提供 的 宝 贯 
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本 章 学 习 目 标 

。 网 络 犯 罪 和 网 络 安全 现状 

。 电子 数据 的 定义 .理论 ,来源 和 特点 

。 电子 数据 取证 的 概念 .领域 .模型 .架构 和 与 其 他 工作 的 区 别 
。 国内 外 电子 数据 取证 的 发 展 概 况 

。 电子 数据 取证 人 员 的 素质 要 求 


电子 数据 取证 是 一 个 神秘 的 领域 ,具有 独特 的 吸引 力 ,无 论 是 对 从 业者 还 是 初学 者 ,都 
需要 对 电子 数据 取证 的 概念 及 其 发 展 进 行 了 解 , 才 能 深入 学 习 。 本 章 对 网 络 犯 罪 和 网 络 安 
全 进行 了 概述 ,完整 地 讲解 了 电子 数据 和 电子 数据 取证 的 相关 知识 ,介绍 了 国内 外 电子 数据 
取证 的 发 展 概况 ,对 电子 数据 取证 人 员 的 和 对质 要 求 进行 了 总 结 。 展 望 了 未 来 电子 数据 取证 
的 发 展 趋势。 


1.1 网 络 犯罪 与 网 络 安全 


近年 来 ,信息 技术 和 信息 产业 的 迅速 发 展 ,对 我 国 国民 经 济 和 社会 发 展 的 各 个 领域 都 产 
生 了 广泛 而 深远 的 影响 。 根 据 中 国 互联 网 信息 中 心 (CNNICD) 的 统计 报告 ,截至 2014 年 
12 月 ,我 国 网 民 规 模 达 到 6. 49 亿 , 互 联网 人 口 普及 率 47. 9% ,手机 网 民 规 模 5. 57 亿 , 信 息 
技术 已 经 成 为 政治 、 经 济 生 活 不 可 或 缺 的 部 分 ,为 社会 发 展 市 来 巨大 效益 ,有 力 地 推动 了 我 
国 现代 化 的 发 展 。 

信息 技术 也 是 一 把 “ 双 为 剑 ”, 它 为 网 民工 作 、 生 活 提 供 了 方便 的 同时 ,也 为 违法 犯罪 分 
子 提供 了 新 的 犯罪 领域 和 手段 ,由 此 而 伴生 的 网 络 犯罪 CCyberCrime) 呈现 日 趋 严重 的 发 展 
态势 。 网 络 犯罪 破坏 经 济 ,竞争 力 和 创新 ,2014 年 华盛顿 战略 和 国际 研究 中 心 3 一 份 报告 9 
指出 ,网 络 犯罪 每 年 给 予 全 球 经 济 造成 的 损失 高 达 4450 亿美 元 ,世界 最 大 几 个 经 济 体 的 损 


http://www. cnnic, net. cn 

CNNIC 第 35 次 中 国 互联 网 络 发 展 状况 统计 报告 . 2015 

Center for Strategic and International Studies 

http:/ /www. reuters. com,/article/ 2014/06/09/us-cybersecurity-mcafee-csis-1dUSKBNOEKOSV20140609 
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失 尤 为 严重 ,美国 .中 国 、 日 本 和 德国 ,一 年 损失 合计 2000 亿美 元 以 上 。 根 据 普 华 永 道外 
(PWC) 全 球 信 息 安 全 统计 ,2014 年 全 球 所 有 行业 检测 到 的 网 络 攻击 共有 4280 万 次 , 比 
2013 年 增长 了 48%, 而 中 国 互联 网 应 急 中 心 (CNCERT/CC%) 的 统计 数据 显示 ,2013 一 
2014 年 度 我 国 上 报 的 网 络 安 全 事件 31655 起 , 较 上 一 年 大 幅 增 长 65. 5%。 

纵 观 国内 外 网 络 犯罪 现状 ,网 络 犯 罪 活动 的 突出 表现 为 : 

。 利用 网 络 编造 、 传 播 虚 假 信息 .造谣 .诽谤 或 者 传播 有 害 信 息 、 烛 动 题 履 国家 政权 、 破 
坏 国 家 主权 、 利 用 网 络 先 取 、 泄 露 国 家 秘密 、 情 报 ; 
非法 侵入 信息 系统 ,采取 获取 、 修 改 或 破坏 系统 功能 或 禄 取 数 据 信 息 等 手段 ,实施 非 
法 控制 ,造成 数据 丢失 或 网 络 瘫痪 ; 
提供 专门 用 于 入 侵 非法 控制 信息 系统 的 程序 、. 工具, 利用 漏洞 攻击 信息 系统 及 通信 
网 络 ,致使 信息 系统 及 通信 网 络 停止 服务 等 ,危害 信息 系统 安全 ; 
利用 网 络 侵犯 知识 产权 ,传播 盗版 ; 

。 在 网 络 上 建立 淫秽 网 站 、 网 页 ,提供 淫秽 站 点 链接 服务 ,或 者 传播 淫秽 信息 ; 

。 利用 网 络 进行 许 骗 、 资 侵占、 挪用 、 贪 污 等 犯罪 ,给 国民 经 济 造成 损失 。 

尤为 严重 的 是 ,网 络 犯 菲 已 经 从 最 初 的 仅 是 针对 普通 人 群 的 犯罪 ,发 展 为 针对 社会 经 
济 .政治 稳定 .国家 安全 等 多 个 领域 的 犯罪 。 从 单机 单 人 犯 徘 ,发 展 到 现在 的 网 络 有 组 织 ` 有 
针对 性 犯罪 ,其 犯罪 手段 和 和 危害 后 果 远 超 传统 犯罪 。 木 马 僵尸 网 络 .钓鱼 网 站 等 传统 网 络 安 
全 威胁 有 增 无 减 , 分 布 式 拒绝 服务 (DDOS 攻击 )、 高 级 持续 威胁 (APT 攻击 ) 等 新 型 网 络 攻 
击 愈演愈烈 ,智能 家 居 .工业 控制 系统 、 车 联网 等 新 兴 技 术 产 业 面 临 严峻 网 络 安全 威胁 。 

日 益 独 狐 的 网 络 犯 罪 严 重地 人 危害 了 世界 各 国 的 政治 安全 经济 安 全 和 社会 安定 。2014 
年 2 月 ,美国 总 统 奥巴马 宣布 启动 (网络 安 全 框架 ), 建 立 网 络 作 战 部 队 , 预 示 关 网络 安 全 已 
经 从 社会 经 阐 层 面 上 升 为 国家 安全 高 度 。 在 美国 的 示范 效应 作用 下 ,先后 有 50 余 个 国家 制 
定 并 公布 了 国家 网 络 安全 战略 。 

2014 年 12 月 27 日 ,中 央 网 络 安 全 和 信息 化 领导 小 组 成 立 , 中 共 中 央 总 书记 、 国 家 主 
席 .中央 军委 主席 习近平 亲自 担任 组 长 。 该 领导 小 组 将 “着 眼 国 家 安全 和 长 远 发 展 ,统筹 协 
调 涉 及 经 济 政治、 文化 .社会 及 盏 事 等 各 个 领域 的 网 络 安 全 和 信息 化 重大 问题 ,研究 制定 网 
络 安全 和 信息 化 发 展 战 略 .宏观 规划 和 重大 政策 ,推动 国家 网 络 安 全 和 信息 化 法 治 建设 ,不 
断 增 强 安 全 保障 能 力 ,” 同 时 ,习近平 主席 提出 “信息 主权 ”的 概念 ,明确 “信息 主权 不 容 侵 犯 ” 
的 互联 网 信息 安全 观 , 这 标志 者 我 国 将 “信息 安全 ”上 升 到 国家 战略 , 吏 定 了 打击 网 络 犯罪 的 
政治 基础 。 


DD http://cybersecurityventures. com/cybersecurity-market-report/ 
加 http://www. cert. org. cn 


回 CNCERT/CC 中 国 互联 网 站 发 展 状况 及 其 安全 报告 . 2014 
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1.2 电子 数据 概述 


1.2.1 电子 数据 的 定义 

1991 年 ,在 美国 召开 的 第 一 届 国 际 计 算 机 调查 专家 会 议 (International Association of 
Computer Investigative Specialists,IACIS) 上 ,首次 提出 ”计算 机 证 据 ”(Computer Evidence) 的 概 
念 ,将 其 定义 为 “可 以 识别 恢复、 提取 、 保 存 并 形成 报告 并 使 之 成 为 法 律 证 据 的 电子 形式 存 
储 的 信息 (Electronically Stored Information ,ESI)”, 这 为 打击 计算 机 犯罪 提供 了 法 律 基础 。 
但 是 “计算 机 证 据 ? 随 春 网 络 和 其 他 电子 设备 的 改 速 发 展 而 逐渐 显得 不 尽 准 确 , 也 在 法 律 实 
施 上 遭受 质疑 ,因此 又 有 着 多 种 新 的 名 称 出 现 , 例 如 “Electronic Evidence”“Digital 
Evidence" “Network Evidence 等。 这些 定 义 在 中 文 文献 中 被 翻 幸 后 名 称 更 为 众多 ,例如 
“计算 机 证 据 *“ 电 子 证 据 ”*“ 电 子 物证 “数字 证 据 ” 和 等。 即使 在 公安 系统 内 部 ,也 存在 两 种 
称谓 ,例如 网 络 安全 保卫 部 门 使 用 “电子 证 据 ”, 而 刑侦 部 门 使 用 “电子 物证 ?, 这 非但 没 能 使 
电子 数据 多 于 理解 ,反而 加 大 了 理解 的 复杂 度 ,使 得 取证 领域 拘泥 于 概念 的 论战 , 陷 人 单纯 
的 学 铂 之 争 , 这 既 不 利于 法 律 的 实施 ,也 不 利于 这 一 领域 的 发 展 。 

使 用 精准 和 统一 的 名 称 , 对 于 一 个 科学 体系 的 建立 具有 重要 意义 ,并 且 也 符合 法 律 实践 
的 要 求 。2013 年 1 月 1 日 施行 的 《中 华人 民 共 和 国 刑事 诉讼 法 ) 第 四 十 八条 规定 了 证 据 的 
八 种 类型 : 

(1) 物证 ; 

(2) us 

(3) 证 人 证 言 ; 

(4) 被 害 人 陈述 ; 

(5) 犯罪 嫌疑 人 被告 人 供述 和 办 解 ; 

(6) 鉴定 意见 ; 

(7) 勘 验 .检查 辨认、 侦查 实验 等 笔录 ; 

(8) 视听 资料 ,电子 数据 。 

这 是 我 国法 律 首次 将 “电子 数据 2” 列 入 证 据 类 型 之 中 ,继而 (民事 诉讼 法 》《 行 政 诉 讼 
法 ) 痢 将 “电子 数据 ” 列 为 证 据 类 型 ,从 而 在 国家 法 律 上 对 “电子 数据 ”这 一 名 称 进行 了 统一 的 
界定 。 

目前 国内 执法 机 构 中 ,对 于 电子 数据 的 定义 不 尽 相 同 ,但 是 内 容 基 本 一 致 ,例如 : 

《公安 机 关 电 子 数据 鉴定 规则 》 第 二 条 “本 规则 所 称 的 电子 数据 ,是 指 以 数字 化 形式 存 
储 、 人 处 理 \ 传 输 的 数据 ”。 


@ 《中 华人 民 共 和 国 刑 事 诉讼 法 ) 第 四 十 八条 。 
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《人 民 检 察 院 电子 证 据 鉴定 程序 规则 》 第 二 条 “电子 证 据 是 指 由 电子 信息 技术 应 用 而 出 
现 的 各 种 能 够 证 明 案 件 真实 情况 的 材料 及 其 派生 物 ”。 

在 坚持 法 律 定义 的 前 提 下 ,根据 电子 数据 取证 的 特点 ,将 电子 数据 取证 做 以 下 定义 ， 
“电子 数据 ”就 是 “信息 数字 化 过 程 中 形成 的 以 数字 形式 存在 的 能 够 证 明 案件 事实 情况 的 
数据 ”。 


1.2.2 电子 数据 的 理论 基础 


物质 交换 (转移 ) 原 理 是 由 法 国 侦查 学 家 、 证 据 专 家 埃 德 蒙 ， 洛 卡 德 (Edmond Locard) 
在 20 世纪 初 提出 的 ,也 被 称 作 党 卡 德 交 换 ( 转 移 ) 原 理 (Locard Exchange Principle)。 物 质 
区 换 ( 转 移 ) 原 理 目 前 已 经 成 为 各 国 公认 的 侦查 学 与 证 据 学 者 名 理论 。 

物质 交换 (转移 ) 原 理 认 为 ， 两 个 对 象 接 触 时 ,物质 会 在 这 两 个 对 象 之 间 产 生 交 换 或 者 
转移 。 例 如 犯罪 现场 留 下 的 指纹 .足迹 .作案 工具 痕迹 以 及 因 搏 斗 造 成 的 咬 痕 、 抓 痕 等 ”。 

尽管 物质 交换 (转移 ) 理 论 是 基于 传统 证 据 而 总 绪 出 的 为 中 外 认可 的 经 典 理 论 , 已 经 汽 
用 了 近 百 年 ,但 是 网 络 犯 罪 毕 葛 是 一 种 发 生 在 虚拟 空间 的 新 型 的 犯罪 形式 ,也 是 在 这 一 理论 
建立 后 产生 的 。 那 么 物质 交换 (转移 ) 理 论 是 否 还 适用 于 网 络 犯罪 领域 呢 ? 在 理论 研究 和 实 
践 中 ,电子 数据 取证 专家 发 现在 犯罪 过 程 中 ,嫌疑 人 使 用 的 电子 设备 同和 被 害 者 使 用 的 电子 设 
备 、 网 络 之 间 的 电子 数据 也 存在 相互 交换 : 一 方面 刀 疑 人 会 获取 所 侵入 计算 机 中 的 电子 数 
据 ; 男 一 方面 他 也 会 在 所 侵入 计算 机 系统 中 留 下 有 关 日 己 所 使 用 计算 机 的 电子 “ 沪 迹 ”。 这 
些 电 子 数 据 或 “ 盖 迹 ”都 是 日 动 转 移 或 交换 的 结果 ,不 受 人 为 控制 ,不 仅 保 存 于 作为 犯罪 工具 
的 计算 机 与 处 于 被 害 地 位 的 计算 机 中 ,而 且 在 登录 所 途经 的 有 关 网 络 市 尽 中 也 有 保留 。 它 
们 在 实质 上 属于 转移 或 交换 的 结果 ,因此 从 本 质 上 ,适用 于 党 卡 德 交 换 ( 转 移 ) 原 理 。 但 是 由 
于 表现 为 二 进 制 代码 的 数字 形式 ,不 可 为 人 所 直接 感知 ,需要 将 其 转换 为 可 识别 的 方式 ,也 
就 是 电子 数据 来 呈现 。 这 既是 电子 数据 的 特点 ,也 是 难点 。 

1.2.3 电子 数据 的 来 源 

在 法 律 实 践 中 , 电 了 于 数据 已 经 在 法 寿 上 得 到 涉 认 并 被 广 沁 使 用 。 电 子 数 据 的 来 源 楷 多 ， 
包括 电子 文档 、 即 时 聊天 记录 、 网 络 浏览 记录 、 电 子 邮 件 、 数 字 图 像 、 数 字音 视频 、 数 据 库 、 内 
存 信息 、 系 统 日 志 等 ,其 种 类 与 网 络 搁 术 和 电子 设备 的 发 展 同 步 增 加 中 ，。 

从 物理 设备 上 讲 , 电 子 设备 和 网 络 是 保存 电子 数据 的 主要 空间 ,网 络 实际 上 就 是 由 多 人 台 
电子 设备 由 网 络 组 成 的 网 状 结构 ,每 一 台电 子 设备 都 是 其 中 的 数据 存储 节点 。 数 据 保存 在 
计算 机 上 或 通过 网 络 传送 给 其 他 设备 。 这 些 设 备 存 储 电 子 数据 的 空间 主要 为 电子 设备 的 物 
理 人 存储。 探讨 电子 数据 ,不 仅 要 了 解 物理 存储 ,还 要 了 了解 不 同 的 操作 系统 和 文件 格式 ,以 及 
证 据 可 能 保存 的 位 置 , 也 就 是 逻辑 存储 。 

1. 物理 存储 

物理 存储 又 叫 存储 介质 ,物理 存储 是 电子 设备 的 组 成 部 分 ,电子 设备 物理 存储 电子 数据 
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的 地 方 就 是 物理 存储 。 

服务 融 、 台 式 机 、 笔 记 本 等 电子 设备 通过 便 盘 能 够 保存 海量 的 数据 ,利用 网 络 进行 数据 
传输 。 除 此 之 外 ,现在 广泛 使 用 的 移动 通信 设备 ,例如 手机 .平板 电脑 .数码 设备 ,包括 数码 
相机 数码 摄像 机 、PSP; 网 络 设 备 , 包 括 各 类 调制 解 调 带 、 网 卡 、 路 由 问 、 集 线 副 ,交换机 、 网 
线 与 接口 ,甚至 全 球 卫 星 定 位 设备 .日 动 应 答 设 备 。 这 些 设备 的 存储 问 中 均 可 能 包含 有 通讯 
录 .账号 密码 .日 程 表 、 文 本 信息 .个 人 文档 .声音 信息 .电子 邮件 等 信息 。 

即使 是 普通 办 公设 备 ,例如 复印 机 ,打印机 ,扫描 仪 \ 传 丰 机 都 有 缓存 婆 置 或 存储 颖 。 从 
这 些 设 备 中 可 以 获取 复印 打印. 扫 摘 、 传 真 的 文档 ` 数 字 时 间 信 息 .虚拟 身份 信息 .用户 使 用 

另外 ,和 贸 能 卡 (Smart Card) 、 加 密 独 (Dongles) 等 ,这 些 设 备 具 有 控制 计算 机 输入 输出 或 
加 密 功 能 ,这 些 设 备 可 能 含有 用 户 的 身份 .权限 等 重要 信息 。 

综 上 ,物理 存储 包括 传统 介质 ,例如 软盘 、 硬 盘 、 移 动 便 盘 、 磁 带 等 磁 介 质 ,光盘 等 光 介 
质 。 新 型 的 物理 存储 ,例如 固态 便 盘 .手机 忌 片 .闪存 (包括 U 盘 、 存储 卡 ) 等 电介质 。 

2. 逻辑 存储 

电子 数据 在 逻辑 状态 下 ,是 不 同 的 操作 系统 ,将 电子 数据 以 一 定编 僻 保存 。 这 些 电子 数 
据 人 逻辑 存储 包括 : 

(1) 用 户 文 件 ( 电 子 文档 、 电 子 邮 件 、 音 /视频 文件 日 程 表 、 网 络 访问 记录 /收藏 夹 、 数 据 
库 文 件 .文本 文件 等 ); 

(2) 操作 系统 文件 (配置 文件 .备份 文档 、Cookies .交换 文件 .系统 文件 .隐藏 文件 .临时 
文件 等 ); 

(3) 保护 文件 (压缩 文件 ,加 密 文件 隐藏 文件 等 ); 

(4) 日 志 包 括 系 统 日 六 .IDS、 防 火场 . FTP、WWW 和 东 毒 软件 日 志 ; 

(5) 其 他 数据 区 中 可 能 存在 的 电子 数据 ,例如 未 分 配 空 间 (Unallocated Space) 松弛 空 
间 (Slack Space) 、 隐 着 分 区 等 。 

针对 各 种 设备 的 不 同 软 鲁 件 系 统 , 电 子 数 据 取 证 方法 也 多 种 多 梓 、 灵 活 多 变 , 对 不 同 配 
置 的 计算 机 、 不 同 的 操作 系统 、 不同 格 式 的 文件 等 ,分 析 和 检查 其 中 的 电子 数据 的 宁 略 也 
不 同 。 


1.2.4 电子 数据 的 特点 


电子 数据 同样 具备 传统 证 据 一 样 的 “客观 性 ”“ 全 法 性 ”“ 关 联 性 ”的 三 个 基本 特性 , 因 
此 电子 数据 也 是 可 信 准确、 符合 法律 法 规 的 ,能 够 作为 法 庭 所 接受 的 证 据 使 用 。 但 是 电子 
数据 还 具备 以 下 不 同 于 其 他 证 据 的 特性 , 宕 要 在 工作 中 多 加 注意 : 

1. 记录 方式 的 虚拟 性 

与 其 他 传统 证 据 相 比较 ,电子 数据 不 具有 物理 形态 ,而 是 以 虚拟 形态 你 存 的 。 传 统 证 据 
的 内 容 和 形态 可 以 二 接 感 知 , 而 电子 数据 则 是 将 信息 按 一 定 方法 转化 为 磁 、 电 或 少 光 的 方式 
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记录 下 来 。 例 如 便 盘 存储 信息 时 ,通过 磁性 材料 而 形成 的 电磁 场 将 电子 信息 记录 下 来 ,而 在 
向 光盘 中 记录 信息 时 ,是 利用 激光 通过 将 信息 以 四 是 点 的 形式 记录 在 光盘 上 。 这 些 数字 信 
上 县 以 ”02 和 ”12? 表 示 ,通过 排列 组 合 来 表示 特定 数值 的 数据 ,其 内 容 无 法 为 人 们 直接 感知 ,所 
以 记录 方式 的 虚拟 性 是 电子 数据 与 传统 证 据 最 本 质 的 区 别 ,也 是 电子 数据 最 根本 的 特点 。 

记录 方式 的 虚拟 性 带 来 了 一 个 难点 是 电子 数据 的 主体 认定 难 。 与 其 他 的 证 据 可 以 指 问 
物理 人 不 同 ,电子 数据 只 能 指向 到 电子 设备 上 ,虚拟 身份 与 物理 身份 的 映射 ,有 时 难以 通过 
电子 数据 来 确定 。 因 此 需要 其 他 证 据 来 佐证 。 

2. 电子 数据 的 易 破 坏 性 

环境 的 影响 ,例如 断 电 、 便 件 故 障 、 病 毒 ; 人 为 操作 ,例如 删除 覆盖、 操作 失误 ,都 会 导 
致电 子 数据 改变 和 灭失 ,从 而 影响 到 电子 数据 的 真实 性 和 完整 性 。 某 些 文件 ,缺少 一 个 字 节 
的 数据 ,都 可 能 无 法 展示 或 播放 ,而 且 网 络 传输 的 数据 ,往往 无 法 以 单独 文件 的 形态 出 现 ,在 
出 现 丢 包 的 情况 下 ,电子 数据 的 完整 性 也 会 受到 影响 。 因 此 电子 数据 的 记录 方式 及 介质 的 
特殊 性 和 网 络 空间 的 特性 决定 了 它 自 身 具 有 一 定 的 易 破 坏 性 。 

3. 电子 数据 的 客观 性 

电子 数据 需要 借助 专用 设备 和 科学 方法 才能 显现 ,电子 数据 中 的 一 些 信息 隐藏 在 它 的 
元 数据 或 者 本 喘 之 外 ,同时 对 于 电子 数据 的 影响 会 留 下 痕迹 。 例 如 使 用 浏览 需 访 问 网 络 ,会 
保存 浏览 记录 和 Cookies; JPEG 图 片 使 用 EXIF 来 保存 拍摄 数据 和 GPS 信息 ,这 些 信 息 都 
无 法 单纯 直接 查看 。 电 子 数 据 这 一 特点 ,可 以 使 得 大 量 不 为 人 知 的 电子 数据 被 保存 下 来 , 具 
有 客观 性 ,使 得 电子 数据 可 以 作为 证 据 使 用 的 效力 大 大 增加 。 


1.3 电子 数据 取证 概述 


1.3.1 电 于 数据 取证 的 发 展 


利用 物质 交换 (转移 ) 原 理 最 大 限度 地 提取 数字 犯罪 相关 电子 数据 ,将 犯罪 者 留 在 计算 
机 和 网 络 中 的 “" 狠 迹 ? 作 为 有 效 的 诉讼 证 据 提 供给 法 庭 , 以 便 将 犯罪 者 绳 之 以 法 。 这 一 过 程 
涉及 的 拉 术 便 是 目前 人 们 人 研究 与 天 注 的 电子 数据 取证 拉 术 , 它 是 计算 机 学 科 、 法 学 学 科 与 侦 
查实 践 的 一 门 交 义学 科 。 

第 一 届 国 际 计算 机 调查 专家 会 议 提 出 “计算 机 证 据 ” 的 同时 ,也 提出 “计算 机 取证 
(Computer Forensic) ”的 概念 ,将 其 定义 为 “识别 恢复、 提取 ,保存 电子 存储 信息 (ESD , 形 
成 报告 并 使 之 成 为 法 律 证 据 的 科学 ”。 实 际 上 ,20 世纪 80 年 中 期 ,计算 机 取证 的 技术 就 已 
经 开始 在 执法 部 门 和 军队 中 使 用 。1999 年 ,计算 机 取证 的 商用 工具 开始 出 现 , 当 时 ,Encase 
这 一 开创 性 的 取证 工具 ,在 国际 计算 机 调查 专家 会 议 IACIS 上 第 一 次 被 介绍 。 

西方 发 达 国 家 的 电子 数据 取证 发 展 相 对 成 熟 , 美 国 , 严 国 等 主要 发 达 国 家 电子 数据 取证 
发 展 非 惫 成 熟 , 执 法 部 门 三 沁 使 用 电子 数据 取证 技术 进行 侦查 \ 诉 讼 活动 。 同 时 电子 数据 取 
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证 在 企业 的 应 用 也 很 广 沁 ,特别 是 跨国 企业 大 量 灯 用 电子 数据 取证 进行 反 垄 断 \、 反 商业 贿 
赂 、 反 不 当 苋 争 等 方面 的 调查 。 

我 们 国内 对 电子 数据 取证 产品 需求 站 先 产生 于 执法 部 门 ,我 国 2001 年 从 针对 普 客 人 侵 
取证 开始 引入 计算 机 取证 的 技术 ,随后 偿 步 故 展 为 针对 计算 机 、 网 络 、 移 动 终 端 等 方面 电子 
数据 的 取证 。 目 前 ,电子 数据 取证 的 发 展 情况 是 为 以 侦查 机 天 为 主 , 社 会 机 构 为 辅 。 主 要 将 
电子 数据 取证 产品 用 于 对 涉案 计算 机 系统 中 的 电子 数据 进行 恢复 、 提 取 、 分 析 , 并 形成 具有 
司法 效力 的 电子 数据 。 近 几 年 随 看 法 律 的 日 趋 完 善 ,以 及 执法 规范 意识 的 增强 , 越 来 越 多 的 
行政 执法 部 门 , 以 及 对 数据 安全 有 严格 要 求 的 企 事 业 单 位 也 和 表现 出 了 明显 的 需求 ,取证 产品 
用 户 和 群体 由 执法 机 关 扩 展 至 其 他 行政 执法 部 门 和 大 型 企 事业 单位 已 成 为 必然 超 努 。 


1.3.2 电子 数据 取证 的 概念 


电子 数据 取证 涉及 法 律 和 技术 两 个 层面 ,其 概念 为 "采用 拉 术 手段 ,获取 、 分 析 、 回 定 电 
子 数据 作为 认定 事实 的 科学 ”。 这 是 能 够 为 法 姓 接 受 的 、 足 够 可 徘 和 有 说 服 性 的 、 存 在 于 计 
算 机 和 相关 外 设 中 的 电子 数据 的 确认 保护 、 提 取 和 归档 的 过 程 ,是 对 存储 介质 中 你 存 的 数 
据 所 进行 的 一 种 科学 的 检查 和 分 析 方 法 。 对 于 电子 数据 取证 来 说 , 取 和 证 是 一 个 财 环 的 过 
程 ,最终 的 目标 是 形成 “证 据 链 ”。 


1.3.3 电子 数据 取证 的 应 用 领域 


1. 刑事 案件 的 侦查 取证 和 诉讼 

刑事 案件 的 侦查 取证 一 般 由 公安 机 关 、 国 家 安全 机 关 和 检察 机 关 完 成 。 这 个 领域 也 是 
我 国电 子 数据 取证 的 技术 标准 和 规范 相对 比较 完善 的 领域 ,采用 的 技术 手段 和 装备 相对 较 
为 先进 。 

2. 民事 案件 的 举证 和 诉讼 

民事 案件 涉及 电子 数据 的 提取 分析 和 鉴定 ,一 般 由 举证 方 提 出 ,由 具备 司法 鉴定 检验 
资质 的 鉴定 /检验 机 构 完 成 。 这 个 领域 涉及 社会 各 个 领域 和 阶层 ,大 多 数 诉讼 参与 方 应 当 充 
分 意识 到 电子 数据 的 重要 性 ,需要 形成 良好 有 效 的 机 制 来 服务 于 民事 案件 诉讼 。 

3. 行政 诉讼 案件 的 举证 和 处 理 

行政 诉讼 也 需要 电子 数据 的 支撑 来 判断 责任 ,确定 处 罚 ,维护 社会 经 济 秩序 和 人 民 和 群众 
的 正常 权益 。 这 个 领域 的 相关 机 构 ,例如 工商 、 税 务 .海关 等 部 门 已 经 意识 到 电子 数据 的 重 
要 作用 。 目 前 ;有 些 机 构 如 工商 行政 执法 部 门 已 经 开始 依托 电子 数据 取证 处 理 网 络 上 的 非 

4. 企业 内 部 调查 

在 电子 商务 普及 的 当今 ,企业 和 公司 的 内 部 安全 控制 对 于 电子 数据 取证 的 技术 和 产品 
有 看 广泛 的 需求 。 由 于 电子 数据 取证 依托 的 技术 基本 都 为 计算 机 或 网 络 基 础 ,因此 在 技术 
层面 在 企业 内 部 调查 应 用 中 没有 什么 障碍 ,但 是 由 于 国内 现 有 的 电子 数据 取证 产品 大 多 数 
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是 特种 产品 ,往往 在 企业 内 部 调查 中 的 应 用 遇 到 阻碍 。 
由 此 可 见 ,电子 数据 的 应 用 领域 已 经 从 公 、 检 法 、 司 等 执法 系统 迅速 扩展 到 社会 经 济 生 
活 的 各 个 方面 。 各 种 刑事 民事 行政 案件 的 办 理 需 要 电子 数据 的 证 据 依 据 , 社 会 经 济 生 活 
也 需要 电子 数据 进行 保驾 护航 。 
1.3.4 电子 数据 取证 架构 
电子 数据 取证 涉及 计算 机 科学 和 法 律 的 各 个 层次 。 它 集中 了 所 有 计算 机 科学 知识 ,并 
与 法 律 紧密 结合 。 偶 重 技术 而 忽略 法 律 ,或 者 拘泥 法 律 而 不 研究 技术 ,都 无 法 根本 理解 电子 


数据 取证 。 本 书 提 出 电子 数据 的 取证 架构 ( 见 图 1.1), 并 基于 以 这 一 架构 详细 讲解 电子 数 
据 取 证 。 


x 
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计算 机 电子 数据 基于 单机 的 电子 数据 取证 


移动 终端 电子 数据 
基于 网 络 的 电子 数据 取证 


网 络 电子 数据 


区 my 标准 与 指南 


图 1.1 电子 数据 取证 架构 
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1.3.5 电子 数据 取证 与 应 急 响 应 的 区 别 


应 急 啊 应 (Incident Response) ,针对 计算 机 或 网 络 所 存储 传输、 处 理 的 信息 的 安全 囊 
件 所 做 的 准备 以 及 在 事件 发 生 后 所 采取 的 措施 。 电 子 数据 取证 往往 与 应 急 啊 应 相 混 消 ,二 
者 使 用 的 方法 和 技术 有 共通 之 处 ,但 实际 二 者 具有 本 质 的 区 别 : 

1. 实施 主体 不 同 

电子 数据 取证 主体 一 般 是 执法 部 门 和 内 部 安全 审计 人 员 ,应 急 啊 应 的 主体 一 般 为 负责 
网 络 安全 的 政府 组 织 、 安 全 厂商 、 系统 维 护 人 员 。 

2. 过 程 不 同 

电子 数据 取证 是 案 ( 事 ) 件 发 生 后 采取 措施 的 过 程 ,应 急 响 应 贯穿 到 事先 预防 、 事 中 处 理 
和 事后 弥补 整个 过 程 。 

3. 目标 不 同 

电子 数据 取证 是 为 了 获得 违法 犯罪 的 证 据 , 目 的 是 形成 证 据 链 ,应 急 响 应 的 目标 是 为 了 


1.3.6 电子 数据 取证 与 公证 的 区 别 


公证 是 公证 机 构 根 据 自然 人 、 法 人 或 者 其 他 组 织 的 申请 ,依照 法 定 程序 对 民事 法 律 行 
为 .有 法 律 意义 的 事实 和 文书 的 真实 性 ,合法 性 予以 证 明 的 活动 。 目 前 ,对 于 网 络 数据 或 者 
电子 文档 数据 ,可 以 使 用 公证 来 固定 保全 ,但 是 公证 不 能 取代 电子 数据 取证 ,这 是 因为 ; 

1. 应 用 的 范围 不 同 

电子 数据 取证 可 以 用 于 刑事 ,行政 和 民事 案件 ,而 公证 只 可 以 用 于 民事 争议 ,其 法 律 效 
率 相 对 较 低 。 公 证 机 构 的 证 明 活 动 与 人 民法 院 审理 案件 的 诉讼 活动 不 同 ,前 者 是 在 发 生 民 
事 争议 之 前 ,对 法 律 行为 和 有 法 律 意义 的 文书 .事实 的 真实 性 和 合法 性 给 予 认 可 ,借以 防止 
纠纷 ,减少 诉讼 , 它 不 能 为 当事人 解决 争议 ,而 人 民法 院 的 诉讼 活动 , 则 是 在 发 生 民 事权 益 纠 
纷 并 由 当事人 起 诉 之 后 进行 的 ,其 日 的 是 作出 裁决 。 

2. 主体 不 同 

电子 数据 取证 发 起 的 主体 是 收 到 委托 或 授权 的 执法 部 门 或 者 内 部 安全 审计 人 员 , 目 的 
是 形成 “证 据 链 ”; 公证 发 起 的 主体 是 当事人 ,目的 是 证 据 保 全 。 


1.3.7 电子 数据 取证 与 数据 恢复 的 区 别 


数据 恢复 是 “通过 技术 手段 ,将 你 存在 存储 介质 上 丢失 的 电子 数据 进行 复原 的 技术 ”。 

数据 恢复 的 目标 是 数据 ,而 电子 数据 取证 的 目标 是 证 据 。 数 据 恢 复 在 恢复 出 数据 之 后 ， 
工作 就 宣告 结束 ,而 电子 数据 取证 在 可 能 进行 数据 恢复 之 后 ,还 需要 进行 大 量 的 分 析 和 提取 
证 据 工 作 , 因 此 ,数据 恢复 是 电子 数据 取证 的 应 用 技术 和 工作 环 广 之 一 。 

同时 电子 数据 取证 的 主体 与 数据 恢复 的 主体 不 同 ,数据 恢复 的 主体 是 数据 恢复 从 业 人 
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员 ,为 客户 服务 ; 电子 数据 取证 的 主体 往往 是 执法 机 关 或 者 司法 机 构 , 为 法 律 服务 。 
1.4 国内 外 电子 数据 取证 的 发展 概况 


1.4.1 国外 电子 数据 取证 发 展 概况 


美英 等 西方 国家 是 最 早 设 立 电 子 数据 取证 机 构 的 国家 ,执法 部 门 的 电子 数据 取证 发 展 ， 
美国 和 英国 是 比较 典型 的 。 早 在 1984 年 ,联邦 调查 局 (FBD 建 立 了 计算 机 分 析 与 啊 应 小 组 
(Computer Analysis and Response Team,CART) ,随后 英国 在 大 都 会 警察 局 设立 了 计算 机 
取证 部 门 。 

1. 美国 

美国 的 电子 数据 取证 机 构 的 发 展 一 下位 于 世界 领先 水 平 。 美 国 车 方 . 联 邦 调 查 局 
(FBD 地方 警 方 . 司 法 部 (NUJ) .美国 烟草 火 天 与 爆炸 物 管理 局 (ATEF) .美国 缉毒 局 (CDEA)、 
美国 国税 局 刑事 调查 司 (IRS-CID) 、 美 国 邮政 检查 (US-PIS) 特勤 局 (USSS) 等 多 家 执法 部 
门 ,根据 权限 分 别 设立 了 电子 数据 取证 的 专门 机 构 , 这 些 机 构 一 般 以 “实验 室 ” 的 形态 运行 ， 
以 保证 其 独立 性 和 公正 性 。 具 体 来 说 ,作为 全 国 性 机 构 , 美 国 国防 部 设立 了 专门 的 网 络 犯 罪 
调查 机 构 (Defense Cyber Crime Center, DC39) , 其 下 的 防范 计算 机 犯罪 实验 室 (Defense 
Computer Forensics Laboratory,DCFL) 由 美国 海 车 运行 ,主要 承担 国家 和 和 盏 队 层 面 的 电子 
数据 取证 工作 。 美 国联 邦 调 查 局 (FBI) 在 各 州 建 立 了 16 da 
(Regional Computer Forensics Laboratory,RCFLS) ,负责 支援 当地 的 网 络 犯罪 调查 。 
实验 室 大 多 通过 实验 室 认 可 ,其 工作 人 员 都 具有 比较 闪 厚 的 计算 机 科学 知识 和 丰富 
犯罪 侦查 经 验 。 美 国 还 有 大 量 的 民间 的 电子 数据 取证 公司 和 机 构 为 社会 各 界 提 供电 子 数据 
取证 服务 。 

为 了 推动 电子 数据 取证 的 发 展 ,美国 的 执法 机 构 和 学术 机 构成 立 了 数字 证 据 科 学 工作 
ne Working Group on Digital Evidence,SWGDE) ,对 取证 的 标准 和 方法 进行 研 

一 模式 是 值得 我 们 学 习 和 从 鉴 的 。 

2. 英国 

喘 国 内 政 部 设立 有 网 络 犯 罪 调查 部 1], 作 为 国家 层面 的 网 络 犯 罪 俩 查 部 门 。 地 方 的 鸭 
察 部 门 都 设 有 网 络 犯 罪 调查 的 部 门 和 专业 人 员 。 但 是 英国 电子 数据 取证 机 构 的 特点 是 全 部 
社会 化 。 目 前 英国 已 经 将 法 庭 科 学 相关 检验 鉴定 工作 交 由 社会 机 构 来 进行 ,其 中 最 大 的 是 
政府 化 学 实验 室 (Laboratory of the Government Chemistg,LGC) ,这 些 鉴 定 和 检验 机 构 由 


OD http://www. dc3. mil/ 
©@ http://www. rcfl, gov/ 
® http://www. lgcgroup. com/ 
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内 政 部 下 的 司法 鉴定 监督 部 (The Forensic Science Regulatord) 进 行 监督 。 
3. 韩国 
进 国 是 受到 网 络 犯 罪 侵 害 较 为 严重 的 国家 ,2004 年 宇 
分 析 中 心 (Center of Digital Evidence Analysis) 进 行 电子 数 据 取证 : [ 作 ， 
除 此 之 外 ,作为 网 络 安全 行业 的 重要 部 分 ,专业 公司 也 可 以 在 西方 国家 进行 电子 数据 取 
证 相关 业务 。 


1.4.2 我 国电 子 数据 取证 发 展 概 况 


中 国 大 陆地 区 , 随 看 改 军 开放 的 深入 发 展 ,涉及 网 络 犯 罪 的 电子 数据 取证 需求 越 来 越 
多 。 由 于 业务 的 需要 ,执法 部 门 ,包括 公安 .检察院 海关 .工商 的 电子 数据 取证 专业 机 构 发 
展 较 快 ,民间 的 司法 鉴定 机 构 也 逐步 提供 电子 数据 取证 服务 。 在 执法 部 门 中 ,以 公安 机 关 的 
电子 数据 取证 机 构 发 展 的 最 为 完善 ,业务 能 力 最 强 。 在 公安 机 关内 部 ， 各 业务 雪 种 都 配备 
电子 数据 取证 设备 ,培养 了 取证 人 才 以 应 对 各 自 领 域 中 的 电子 数据 取证 需求 。 网 络 安 全 保 
卫 部 门 和 刑事 侦查 部 门 都 是 以 实验 室 的 机 构 来 进行 电子 数据 取证 。 目 前 网 络 安全 保卫 部 门 
的 取证 实验 室 已 经 超过 100 冢 ,是 公安 机 头 业 务 水 平 最 高 ,发 展 最 为 迅速 的 电子 效 据 取 证 
机 构 。 

由 于 我 国 港 澳 台 地 区 的 网 络 发 展 超 过 大 陆地 区 的 平均 水 平 , 其 网 络 犯罪 的 危害 也 较 大 。 
港澳 台地 区 的 电子 数据 取证 发 展 将 过 较 早 ,水平 较 局 ,其 机 构 设 立 也 早 于 大 陆地 区 。 

1996 年 12 月 ,我 国 台 湾 第 一 个 电子 数据 取证 机 构 一 一 法 务 部 调查 局 2 资 安 鉴 识 实验 室 
建立 。2006 年 8 月 内 政 部 警 政 署 刑事 警察 局 2 也 成 立 了 自己 的 “数位 鉴 识 实验 室 ”, 为 台湾 
执法 部 门 提供 电子 数据 取证 的 服务 。 

早 在 1993 年 ,我 国 香 港 地 区 专业 应 对 网 络 犯 罪 活 动 的 部 门 一 一 电脑 和 罪案 组 (Computer 
Crime Section) 成 立 。2001 年 9 月 6 日 ,科技 罪案 组 位 于 香港 警 务 处 中 的 电脑 法 证 检验 室 
(Computer Forensics Laboratory) 启 用 。2014 ne lol a oan 与 网 络 安 
全 中 心 合并 及 升格 为 网 络 安全 及 科技 罪案 调查 科 , 下 辖 的 数码 法 证 鉴证 队 负 责 进 行 取 证 ,上 典 
型 的 案件 有 陈 半 和 硕 裸 照 事件 香港 区 易 所 黑客 攻击 和 案 等 。 

我 国 澳门 的 电子 数据 取证 部 门 为 司法 警察 局 9 资讯 与 电讯 协调 厅 下 设 的 电脑 法 证 处 。 
澳门 还 为 电 了 于 数据 的 法 律 应 用 颁布 六 澳门 特区 打击 电脑 犯罪 法 》。 


察 厅 建立 了 数字 证 据 


https: / /www. gov. uk/government/organisations/ {orensic-science-regulator 

http: / /www. mjib. gov. tw 

http:/ /www. cib. gov. tw 

http://zh. wikipedia. org/ wiki/ %E7% A7%91 HE6H%S8A WEBOWNE7 HBDH AAMW%EGW% Al .88% E7 HB5 % 84 
http:/ /www. police. gov. hk/ ppp_sc/ 


@O@OO00800 


http: / www. pj. goOv. mo/ NEW/main. htm 
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1.4.3 电子 数据 取证 的 学 术 发 展 


除了 执法 部 门 , 网 络 安全 行业 都 对 电子 数据 取证 的 发 展 而 予以 实时 关注 , 近 几 年 每 年 都 
会 有 讨论 计算 机 取证 为 主题 的 学 术 会 议 召 开 。 从 1993 年 开始 ,就 又 以 计算 机 证 据 为 主题 的 
国际 会 议 , 国 际 上 成 立 了 有 关 计 算 机 证 据 国 际 组 织 (IOCE) 和 数字 证 据 科 学 工作 组 
(SWGDE)。 男 外 ,还 有 SANSY 协会 主持 的 系统 取证 .调查 和 响应 年 会 及 FIRSTS2 技术 论 
坛 年 会 等 。 国际 著 名 的 网 络 安全 站 点 Security Focusg 也 开辟 计算 机 取证 专栏 , 供 全 球 从 事 
计算 机 取证 的 研究 人 员 讨 论 交 流 。 相 比 之 下 ,我国 有关 电子 取证 技术 方面 的 研究 大 多 在 行 
业内 部 ,尽管 某 些 行业 水 平 很 高 ,但 是 互相 的 学 术 壁 鸡 导 臻 整体 水 平 不 高 。 应 当 站 在 全 局 的 
高 度 ,促成 一 线 实战 部 门 与 研究 机 构 互 相交 流 , 取 长 补 短 ,促进 电 子 数 据 取 证 在 我 国 的 发 展 。 


1.5 电子 数据 取证 面临 的 困难 


近年 来 ,我 国 关 于 电子 数据 取证 的 研究 与 实践 已 经 得 到 了 较 大 发 展 ,但 是 取证 技术 与 西 
方 国家 还 有 一 定 的 差距 、 相 应 的 法 律 法 规 还 不 完善 .社会 对 于 电子 数据 的 认可 程度 不 高 , 目 
前 ,电子 数据 取证 主要 面临 以 下 困难 : 

1. 信息 安全 观念 落后 

我 国 的 信息 安全 观念 立足 于 被 动 防护 的 层面 ,倾向 采用 密码 、 防 火 墙 . 杀 毒 软 件 等 防御 
来 保证 信息 安全 ,更 多 的 关注 正常 提供 服务 ,这 在 目前 复杂 的 网 络 安全 形势 面前 已 经 过 时 。 
计算 机 或 网 络 是 虚拟 的 “犯罪 现场 ”, 很 多 情况 下 ,用户 遭 受到 攻击 和 破坏 后 ,要 么 担心 损害 
声誉 不 报案 ,造成 网 络 犯 罪行 为 无 法 被 打击 ,这 实际 上 是 助长 了 网 络 犯 罪 的 葛 延 ; 要 么 报案 
后 ,没有 保护 “虚拟 现场 ”的 概念 ,而 是 急于 重建 系统 恢复 服务 ,往往 破坏 了 电子 数据 。 只 有 
将 信息 安全 提高 到 主动 防护 的 高 度 , 以 系统 化 的 观念 来 保障 信息 安全 ,一 旦 发 生 安 全 事故 或 
者 犯罪 活动 ,应 当 将 保护 电子 数据 作为 首要 条 件 ,才能 做 到 有 效 防 范 和 惩治 网 络 犯 罪 。 

目前 ,尽管 刑 诉 法 、 民 诉 法 和 相关 司法 解释 已 经 统一 .规范 了 电子 数据 的 范围 ,但 是 其 使 
用 标准 和 操作 方法 还 缺乏 权威 的 法 律 法 规 来 界定 ,电子 数据 的 公信 力 的 认可 还 需要 一 个 过 
程 。 同 时 电子 数据 的 “虚拟 性 ”和 “海量 性 ”, 其 犯罪 行为 不 同 、 表 现形 式 多 样 ,产生 的 电子 数 
据 也 具备 不 同 格式 ,这 些 都 难以 直接 判断 网 络 犯罪 后 果 , 案 件 客观 事实 需要 专业 部 门 来 

3. 取证 机 构 和 人 才 的 医 乏 

由 于 电子 数据 取证 的 高 科技 性 ,需要 有 专门 的 调查 取证 机 构 , 目 前 ,我 国 的 公安 、 检 察 


OD http://www. sans. org 
@ Forum of Incident Response and Security Teams 


® http://www. securityfocus. com/ 
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院 .司法 等 部 门 和 社会 科研 机 构 都 在 从 事 电 子 数 据 取证 工作 。 但 是 大 多 数 的 电子 数据 取证 
工作 申 执法 部 门 进行 ,社会 服务 性 的 电子 数据 取证 服务 发 展 还 很 溥 绊 。 面 对 着 数据 量 巨大 
的 电子 数据 取证 需求 ,造成 执法 部 门 的 电子 数据 取证 工作 数量 大 ,质量 不 高 ,而 社会 服务 性 
的 电子 数据 取证 服务 无 法 形成 良好 补充 。 

4. 产业 发 展 不 均衡 

与 发 达 国 家 相 比 ,我 国 的 电子 数据 取证 行业 起 步 较 晚 ,与 国外 发 展 有 较 大 差距 。 尽 管 国 
内 的 取证 行业 部 门 和 专业 工作 进行 了 努力 的 探索 和 研究 ,但 是 整体 行业 发 展 较 慢 ,产业 规模 
小 ,技术 水 平 有 一 定 差距 。 同 时 行业 内 部 发 展 不 均衡 ,核心 技术 多 依赖 国外 ,还 缺乏 自主 知 
识 产 权 的 产品 。 


1.6 ”电子 数据 取证 人 员 的 素质 要 求 


人 才 是 电子 数据 取证 的 核心 。 电 子 数据 取证 人 员 的 双 奈 要 求 是 信息 安全 从 业 人 员 要 求 
较 高 的 一 类 ,不 但 需要 有 高 超 的 技术 ,还 在 法 律 法 规 、 执 业 记 德 上 有 和 较 高 要 求 。 


1.6.1 取证 技术 与 意识 


很 多 电子 数据 取证 专家 都 具有 很 高 的 技术 水 准 ,但 是 这 并 不 意味 着 ,电子 数据 取证 依靠 
技术 就 能 够 包 打 天 下 。 取 证 意识 是 电子 数据 取证 的 另外 一 个 重要 组 成 部 分 ,通过 取证 意识 ， 
可 以 找到 突破 点 ,了 迅速 有 效 地 找到 线索 或 证 据 , 技 术 和 意识 如 同 电 子 数 据 取 证 天 平 的 两 个 托 
盘 , 要 达到 完美 的 平衡 ,不 要 为 了 追求 技术 的 极致 ,而 放弃 了 意识 的 挖掘 。 
1.6.2 法 律 素养 

电子 数据 取证 人 员 需 要 对 相关 的 法 律 法 规 等 有 所 了 解 ,这 样 才 能 在 案件 定性 上 符合 法 
律 的 要 求 。 同 时 在 取证 过 程 中 ,还 要 遵守 相关 法 律 法 规 的 规定 ,做 到 秉公 执法 ,确保 取证 绪 
果 的 公正 性 。 
1.6.3 职业 道德 

电子 数据 取证 是 人 与 设备 的 完美 结合 ,在 机 需 的 客观 分 析 后 ,由 取证 人 员 进 行 逻 辑 判 
盯 ,形成 “证 据 链 ”。 取 证 过 程 中 往往 会 涉及 虚拟 物品 甚至 网 络 区 易 账 号 的 提取 ,取证 人 员 要 
能 抵御 利益 的 诱惑 ,恪守 职业 操守 ,同时 能 够 抵御 内 部 和 外 部 的 压力 ,不 能 徇私 舞 整 、 贪 赃 
枉法 。 
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1.7 电子 数据 取证 的 发 展 趋势 


随 看 信息 科技 的 发 展 和 新 型 网 络 犯 罪 的 出 现 ,电子 数据 取证 也 需要 不 断 调 整 发 展 方 癌 ， 
以 应 对 类 型 多 样 的 网 络 犯罪 活动 。 电 子 数据 取证 将 主要 向 下 列 方向 发 展 : 

1. 新 型 介质 的 取证 分 析 

利用 手机 平板 电脑 等 无 线 终端 设备 进行 犯罪 的 案件 逐年 上 升 ,无 线 网 络 的 发 展 , 可 穿 
戴 设备、 智能 交通 工具 的 飞速 发 展 , 也 开拓 了 取证 的 领域 。 未 来 ,电子 数据 取证 的 范围 将 大 
大 增加 ,会 存在 于 社会 生活 的 各 个 方面 ,同时 ,电子 科技 的 发 展 提高 了 电子 数据 取证 的 门槛 ， 
数据 被 存储 于 更 小 、 dd 这 将 使 电子 数据 取证 从 逻辑 取证 阶段 路 


越 到 物理 取证 阶段 。 - 切 都 对 电子 数据 取证 提出 了 更 高 的 要 求 , 也 是 今后 的 研究 
和 
2. 执业 主体 的 延伸 


除了 作为 打击 网 络 犯罪 主体 的 执法 部 门 , 面 回 社会 的 司法 鉴定 机 构 也 根据 需要 ， 
电子 数据 取证 服务 。 企 业内 部 审计 部 门 、 律 师 . 安 全 公司 .高校 .科研 机 构 都 根据 目 身 需要 
展 了 电子 数据 取证 方面 的 培训 和 研究 。 电 子 数据 取证 的 主体 已 经 从 单纯 的 执法 部 门 扩 到 
社会 电子 数据 应 用 的 各 个 行业 ,针对 已 经 融合 到 社会 生活 方方面面 的 信息 科技 ,电子 数据 取 
证 能 够 在 上 述 领 域 中 发 挥 更 多 作用 。 

3. 系统 化 的 取证 方 回 

面 对 独 网 络 科 技 的 飞速 发 展 和 网 络 犯 菲 技术 手段 的 提高 , 徘 个 人 技术 进行 电子 数据 取 
证 已 经 无 法 满足 执法 斗争 形势 的 需要 。 取 证 技术 的 发 展 趋 势 是 伴随 看 信息 科技 发 展 而 同步 
的 ,未 来 单机 版 的 取证 工具 将 被 分 布 式 的 综合 取证 系统 蔡 代 , 辅 以 大 数据 挖 扎 技 术 进 行 深度 
挖掘 ,结合 人 工 镶 能 、 机 硕 学 习 、 神 经 网 络 进行 稍 能 化 的 月 动 关联 .碰撞 、 比 对 ,获取 各 数据 源 
之 间 的 关联 性 ,以 反映 网 络 罪犯 真实 的 犯罪 过 程 。 


1.8 本 和 章 小 结 


电子 数据 取证 将 存在 于 社会 政治 、 经 济 生活 的 各 个 方面 ,是 一 个 方兴未艾 而 又 充满 挑战 
的 领域 。 本 章 对 电子 数据 和 电子 数据 取证 的 基本 情况 进行 曾 述 。 介 绍 了 国内 外 电子 数据 取 
证 的 发 展 概况 。 电 子 数 据 取证 是 一 个 不 断 发 展 的 行业 ,要 求 取 证 人 员 对 取证 技术 和 法 律 都 
有 所 了 解 , 目 的 是 使 读者 对 电子 数据 取证 有 个 宏观 的 认识 ,做 好 探索 富有 魅力 的 电子 取证 领 
域 的 准备 。 


co ~ 中 四 相手 
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. 价 述 电子 数据 的 定义 。 

.和 倘 述 电 子 数 据 的 理论 基础 。 

.人 简 述 电子 数据 的 特点 。 

. 人 简 述 电子 数据 取证 的 概念 。 

. 简 述 电子 数据 取证 与 数据 恢复 的 区 别 。 

. 概述 美国 的 电子 数据 取证 的 发 展 。 

. 电子 数据 取证 人 员 的 素质 要 求 有 哪些 ? 

.结合 电子 数据 取证 的 未 来 发 展 趋势 ,前 述 电子 数据 取证 还 有 哪些 发 展 方 问 。 


电 了 于 数据 取证 基础 知识 


本 章 学 习 目 标 

。 计算 机 的 基础 理论 
存储 器 的 种 类 和 特点 
。 机 械 硬 盘 、 闪 存 的 基本 知识 
。 存储 器 的 技术 指标 
。 网 络 基 础 知识 

。 操作 系统 基础 知识 
。 数据 组 织 

。 数 制 

。 数据 获取 基础 知识 
。 文件 过 滤 基 础 知识 
。 数据 搜索 基础 知识 


。 数据 恢复 原理 
。 数据 分 析 基 础 知识 


。 密码 破解 基础 知识 


电子 数据 取证 人 员 面 对 的 是 充满 变化 的 虚拟 数字 世界 ,这 个 世界 由 各 种 各 样 的 计算 机 
设备 、 网 络 设备 以 及 其 他 电子 设备 组 成 ,通过 各 种 各 梓 的 协议 来 保证 通信 。 他 所 要 和 萤 握 的 ， 
几乎 是 社会 应 用 中 的 所 有 的 电子 设备 和 相关 理论 知识 ,不 仅 要 有 上 广 这 和 完整 的 知识 体系 ,还 
要 具备 能 够 将 这 些 知 识 融 会 贯通 到 实际 工作 中 的 能 力 。 本 章 按 照 从 多 到 难 的 教学 方法 ,看 
重 讲解 电子 数据 取证 必须 等 握 的 相关 基础 知识 。 


2.1 计算 机 基础 知识 


计算 机 不 但 是 电子 数据 的 载体 ,也 是 电子 数据 取证 的 主要 对 象 。 计 算 机 不 是 模 空 出 世 
的 , 它 的 发 展 历史 实际 上 就 是 人 类 的 科技 发 展 史 。 早 期 的 计算 机 兹 用 于 普通 数学 计算 ,在 英 
文中 , 指 的 是 Caleulator。 随 着 晶体 技术 和 数字 技术 的 发 展 ,人 类 创造 出 了 能 够 执行 复杂 运 
算 的 计算 机 融 一 一 计算 机 (Computer) 。 
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1946 年 ,世界 上 第 一 台数 字 电 子 计 算 机 凤 (ENIAC) 正 式 运行 ,ENIAC 的 问世 具有 划 时 
代 的 意义 ,揭示 了 数字 计算 机 时 代 的 到 来 ,在 以 后 的 几 十 年 里 ,数字 计算 机 的 发 展 速度 逐渐 
加 快 ,同时 也 衍生 出 各 种 电子 设备 ,这 些 设备 ,无 论 是 否 具 有 传统 计算 机 的 形态 ,其 内 核 和 本 
质 都 基于 计算 机 的 理论 。 

现代 计算 机 普遍 采用 冯 “， 诺 依 曼 计 算 机 理论 , 即 采 用 二 进 制 形式 表示 数据 和 指令 。 计 
算 机 系统 由 运算 需 、 存 储 送 、 控 制 锅 、 输 入 设备 和 输出 设备 五 大 部 分 组 成 ,如 图 2. 1 所 示 。 


Eo 


2.1 以 存储 此 为 中 心 的 计算 机 结构 框图 


计算 机 发 展 至 今 种 类 索 多 ,从 进行 科学 运算 的 大 型 服务 融 到 迷你 的 手机 设备 ,种 类 无 以 
计数 。 电 子 数 据 取 证 中 ,可 能 会 遇 到 以 下 几 种 计算 机 设备 : 

1. 个 人 计算 机 (Personal Computer) 

个 人 计算 机 一 词 源 日 于 1981 年 IBM 的 第 一 部 时 上 型 计算 机 型 号 PC(Personal Computer)， 
个 人 计算 机 以 微 处 理 硕 为 基础 ,部 件 组 猴 灵 活 ,价格 低廉 ,使 用 方便 。 个 人 计算 机 有 几 种 主 
要 的 类 型 : 

(1) 台式 机 (Desktop) 。 

台式 机 也 称 果 面 计算 机 ,体积 较 大 ,价格 便宜 ,主要 部 件 如 主机 、 显 示 问 ,键盘 、 腿 标 等 设 
备 一 般 部 是 相对 独立 的 ,扩展 性 好 ,功能 强 。 一 般 需 要 放置 在 电脑 好 或 者 专门 的 工作 台 
因此 命名 为 台式 机 或 果 面 机 。 和 台式 机 的 性 能 相对 较 笔 记 本 电脑 要 强 , 性 能 较 强 的 台式 机 有 
时 候 叫 做 工作 站 。 

(2) 一 体 机 。 

一 体 机 ,是 将 显示 天 .主机 集合 到 一 个 模块 中 ,具备 较 强 的 功能 ,无 法 便携 ,只 要 将 键盘 
和 鼠标 连接 到 显示 右上 ,一 体 机 就 能 使 用 。 典 型 的 一 体 机 设备 是 苹果 的 iMac。 

(3) 笔记 本 电脑 (Notebook 或 Laptop)。 

笔记 本 电脑 ,也 称 手提 电脑 或 膝 上 型 电脑 ,是 一 种 小 型 、 可 携 市 的 个 人 电脑 。 它 和 侣 对 
机 染 构 类 似 , 将 主板 、 内 存 、 便 盘 和 显示 颖 集 成 到 一 个 可 以 便携 的 设备 中 ,功能 相对 于 台式 机 
弱 ,主要 用 于 移动 办 公 。 


六 一 ”一方 一 ”一 了 


| 


”相对 于 模拟 计算 机 。 
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2. 服务 器 

服务 器 (Server) 指 的 是 网 络 环境 中 的 高 性 能 计算 机 ,服务 疾 具 有 高 速度 的 运算 能 力 \ 长 时 间 
的 可 靠 运 行 、. 强大 的 外 部 数据 吞吐 能 力 。 服 务 希 大 多 具有 多 块 便 盘 ,组 成 磁盘 元 余 阵 列 (RAID) 。 

3. 移动 终端 

移动 终端 (Mobile) 指 的 可 以 在 移动 中 使 用 的 计算 机 设备 ,广义 地 讲 包 括 手 机 、 笔 记 本 、 
平板 电脑 .POS 机 甚至 包括 车 载 电脑 。 

除 此 之 外 ,还 有 路 由 硕 、 交 换 机 、 镶 能 汽车 等 多 种 多 样 的 使 用 计算 机 理论 和 运行 机 制 的 设备 。 


2.2 计算 机 硬件 知识 


电子 数据 取证 人 员 应 该 对 能 够 保存 电子 数据 的 介质 或 设备 有 清醒 而 诛 刻 的 了 解 , 不 但 
要 熟悉 计算 机 、 网 络 设备 .移动 设备 等 数字 设备 的 型 号 、 性能、 构成 ,而 且 还 要 了 解 它 们 的 运 
行 机 理 和 操作 方法 。 更 重要 的 是 ,要 能 够 前 述 这 些 设备 生 成 和 保存 数据 的 机 理 , 以 及 提取 数 
据 作 为 证 据 过 程 中 需要 遵循 何 种 规定 和 程序 。 优 秀 的 电子 数据 取证 人 员 不 但 能 够 了 解 操作 
系统 和 应 用 软件 .熟知 数字 设备 的 便 件 ,更 要 从 得 二 者 是 如 何 协同 工作 的 ,这 样 才 能 操作 取 
证 工具 清晰 明确 的 获取 和 分 析 电 子 数 据 。 

硬件 是 计算 机 系统 快速 高效、 可靠 运 行 的 基础 。 计 算 机 人 硬件 系统 主要 有 运算 需 、 控 制 
器 ,存储 器 和 1/O 控制 系统 等 功能 部 件 组 成 。 从 外 观 来 看 ,计算 机 主要 由 机 箱 和 外 部 设备 
两 部 分 组 成 ,外 部 设备 包括 显示 需 、 键 盘 和 好 标 等 ; 机 箱 内 有 包括 更 复杂 的 套件 ,如 主板 、 
CPU、 显 卡 , 还 有 取证 最 为 关注 的 各 种 存储 介质 。 

存储 冀 是 计算 机 人 硬件 中 的 记忆 单元 ,用 于 存放 程序 和 数据 ,也 是 电子 数据 取证 主要 的 工 
作对 象 。 电 子 数据 存储 介质 按照 存储 原理 分 为 磁 存 储 、 电 存储 和 光 存 储 三 种 。 磁 存储 主要 
指 磁 表面 存储 硕 (Magnetic Surface Memory,;MSM) ,如 机 械 价 盘 、 伺 市 等 ; 电 存 储 主 要 是 指 
半导体 存储 器 (Semiconductor Memory,SCM) ,如 UU 盘 2 存储 卡 、 固 态 硬 盘 等 ; 光 存 储 主要 
是 指 光 盘存 储 (Optical Disk Memory,ODM) ,如 CD、DVD 等 。 

从 功能 分 ,存储 器 主要 分 为 内 存 和 外 存 两 种 。 

1. 内 在 

内 存 ( 内 部 存储 融 ) ,是 CPU 、 显 卡 或 者 其 他 内 置 板 卡 可 以 直接 寻 址 的 存储 空间 , 存 取 速 
度 快 是 它 最 大 的 特点 。 内 人 存 主 要 用 于 暂时 保存 程序 和 数据 ,并 与 外 部 存储 天 交换 数据 , 例 
如 , 当 编 辑 Word 文档 时 ,通过 键盘 输入 字符 后 ,这 些 字 符 首 先 会 存 人 内 存 中 ,当选 择 存 盘 
时 ,内存 中 的 这 些 字 符 等 数据 才 会 保存 到 便 盘 。 

随 着 半导体 技术 的 不 断 革 新 ,ROM 和 RAM 基本 被 闪存 (Flash) 存 储 器 取代 ,闪存 
(Flash) 存 储 器 是 非 易 失 性 存储 器 ,结合 了 ROM 和 RAM 的 长 处 。 主流 的 闪存 (Flash) 存 储 


中 ”Universal Serial Bus flash disk, USB 办 存盘 ,简称 U 盘 ， 
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器 主要 有 两 种 : NOR Flash 和 NAND Flash。 闪 存 (Flash) 存 储 器 现在 广泛 用 于 内 存 、 显 卡 
存储 、BIOS 蕊 片 等 内 存 中 ,还 广泛 使 用 于 U 盘 、 同 态 人 硬盘 、 播 放 器 、 手 机 和 其 他 电子 设备 中 。 

2. 外 存 

传统 上 ,外 部 存储 设备 即 外 存 , 主 要 包括 磁 存 储 器 (机 械 人 硬盘 )、 电 存储 器 (固态 便 盘 、U 
盘 、 存 储 卡 ) 和 光 存 储 器 (光盘 )。 

磁 存 储 器 是 利用 金属 .玻璃 或 塑料 基体 上 的 磁性 材料 的 两 种 不 同 磁化 状态 记录 二 进 制 
代码 1 和 0 的 存储 设备 ,如 图 2. 2 所 示 。 工 作 时 , 磁 层 随 载 磁 基 体高 速 运 转 , 利 用 磁头 从 磁 
层 上 谈 取 或 写 人 信息 ,实现 了 电信 号 和 磁 信号 间 的 相互 转换 。 磁 存储 的 发 展 成 熟 , 具 有 存储 
容量 大 ,价格 低 等 优点 ,但 其 存 取 速 度 较 慢 机 械 结构 复 洒 。 

按 载 磁 基体 形状 和 材质 的 不 同 , 可 将 磁 存 储 关 分 为 机 械 人 硬盘 (磁盘 ) ,磁带 和 磁 玛 。1973 
年 ,IBM 公司 推出 * 温 彻 斯 特 ” 结 构 机 械 人 硬盘 ,第 一 次 使 用 密封 组 件 将 磁盘 封装 起 来 ,这 也 是 
目前 机 械 人 硬盘 的 基本 结构 , 随 看 技术 的 不 断 提 高 ,机 械 人 硬盘 的 容量 越 来 越 大 ,速度 越 来 越 快 ， 
目前 机 械 人 硬盘 最 大 容量 可 以 达到 6TB, 速 度 最 高 达到 15000 转 / 分 钟 。 机 械 人 硬盘 目前 应 用 最 
为 广泛 .也 是 电子 数据 取证 主要 对 象 。 

电 存 储 需 存储 密度 高 .速度 快 。 在 成 本 降低 的 同时 ,利用 闪存 (Flash) 技 术 生 产 的 电 存 
储 带 -U 盘 和 固态 便 盘 (SSD) 已 经 成 为 外 部 存储 介质 的 发 展 方 问 ,U 盘 和 固态 便 盘 (SSD) 还 
渐 挤 占 机 械 人 硬盘 的 市 场 。 闪 存 (Flash) 存 储 吉 生产 厂商 众多 ,使 用 的 协议 和 存储 方式 不 一 
致 ,甚至 往往 采用 加 密 技 术 ,这 给 电子 数据 取证 造成 一 定 的 困难 。 

光 存 储 右 ,是 一 种 采用 光 存 储 技术 存储 信息 的 存储 器 , 它 采 用 聚焦 激光 束 在 化 学 介质 上 
非 接 和 甬 地 记录 高 密度 信息 ,以 介质 材料 的 光学 性 质 ( 如 反射 率 、 偶 振 方 癌 ) 的 变化 来 表示 所 存 
储 信息 的 “1” 或 “0”, 如 图 2.3 所 示 。 近 年 来 ,在 电 存 储 器 的 飞速 发 展 冲击 下 , 光 存 储 需 的 发 
展 已 经 力不从心 。 光 存储 兹 主 要 为 光盘 ,目前 普通 CD 光盘 的 容量 为 750MB,DVD 光盘 一 
般 为 4.7GB ,蓝光 光盘 容量 可 以 达到 45GB 左右 。 


磁力 显微镜 检测 结果 
样品 : 硬盘 (HDD) 
扫 拍 沁 围 : 61hm 关 6lhm 


MPM 图 ( 相 移 成 像 ) 
MFM 图 (振幅 成 像 ) | 
表面 形 貌 图 ] 


2.2 机 械 硬 盘 表面 图 像 图 2.3 光盘 表面 图 像 
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2.3 存储 介质 基础 知识 


电子 数据 的 主要 载体 是 机 械 便 盘 、U 盘 、 固 态 人 硬盘 和 光盘 ,以 及 新 型 的 形形色色 的 各 种 
电 存 储 带 ,例如 存储 卡 , 这 些 载 体 统称 为 存储 介质 。 


2.3.1 机 械 硬 盘 


1. 机 械 硬 盐 的 物理 结构 

机 械 人 硬盘 由 一 个 或 儿 个 雪 面 镀 有 磁性 物质 的 金属 或 玻璃 等 物质 盘 上 请 以 及 盘 片 两 面 所 安 
准 的 磁头 和 相应 的 控制 电路 组 成 。 机 械 便 盘 的 物理 结构 如 图 2.4 所 示 , 其 中 盘 片 和 磁头 密 
封 在 无 侍 的 金属 元 中 。 
串 行 接口 


主轴 (下 方 是 me 
铀 承 和 马达 电机 ) 
磁头 
磁头 保 让 区 
音效 与 达 小 处 辟 
永 磁铁 


图 2.4 机 械 硬 盘 的 物理 结构 


机 械 人 硬盘 工作 时 , 盘 片 以 设计 转速 高 速 旋转 ,设置 在 盘 片 表面 的 磁头 则 在 电路 控制 下 径 
回 移动 到 指定 位 置 。 可 以 将 数据 " 谈 取 ”或 者 “与 人 ”。 旋 取 数 据 时 , 盘 片 表面 磁场 使 磁头 产 
生 感 应 电流 或 线圈 阻抗 产生 变化 ,经 相关 电路 处 理 后 还 原 成 数据 ; 写 人 数据 时 ,磁头 电流 产 
生 人 磁场 使 盘 片 表面 磁性 物质 状态 发 生 改变 ,并 在 写 电流 磁场 消失 后 仍 能 保持 ,这 样 数 据 就 被 
存储 。 

机 械 人 硬盘 的 尺寸 主要 为 3.5 英寸 和 2.5 英寸 ,还 有 少 部 分 为 1.8 英寸 每 其 他 尺寸 。 其 
中 3.5 英寸 的 机 械 便 盘 主要 用 于 台式 机 和 服务 需 中 ,2.5 英寸 和 1.8 英寸 的 机 械 人 硬盘 主要 
用 于 笔记 本 和 便携 式 设 备 中 。 现 在 的 主流 3. 5 英寸 台式 机 硬盘 的 容量 为 2 一 6TB, 转 速 一 般 
为 7200 一 10000RPM 。 

机 械 人 硬盘 的 厂商 曾经 有 和 硕 捷 、 昆 腾 、 迈 折 .富士 通 .西部 数据 三星 等 三 家 ,现在 仅 剩 西部 
数据 .和布 捷 、 东 芝 三 家 主要 厂商 。 
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2. 机 械 硬盘 的 逻辑 结构 

机 械 硬 盘 由 多 个 盘 片 组 成 ,每 个 盘 片 都 有 两 个 面 , 这 两 个 面 都 可 以 用 来 存储 数据 ,依次 
称 为 0 面 、1 面 .2 面 …… 每 个 盘 片 的 每 个 面 都 有 一 个 读 写 磁头 。 按 照 机 械 硬 盘 的 容量 和 规 
格 不 同 , 盘 片 数 不 同 , 面 数 也 就 不 同 。 如 果 有 N 个 盘 片 ,就 有 2N 个 面 ,对 应 2N 个 磁头 
(Heads) ,从 0、1.2 开始 编号 。 

由 于 机 械 便 盘 在 读 写 时 是 以 电机 主轴 为 轴 高 速 旋 扇 区 
转 的 , 则 连续 写 入 的 数据 是 排列 在 一 个 圆周 上 的 ,这 个 > 
圆周 称 为 “磁道 (Heads)”, 读 写 磁头 可 以 沿 着 盘 片 半径 7 再 
方向 移动 ,所 以 每 个 盘 片 可 以 划分 成 若干 逻辑 上 的 同心 有 J h 
同 磁道 中 (不 可 见 ); 磁道 又 被 划分 成 若干 段 ,每 段 称 为 ”有利 RE 
“ 扇 区 (Sector)”, 一 个 肩 区 一 般 存 放 512 字 节 的 数据 , 扇 。 
区 从 1 开始 , 称 为 1 扇 区 ,2 扇 区 ……。 这 样 每 个 盘 片 同一 2 
逻辑 上 形成 了 一 个 以 电机 主轴 为 轴 的 “ 柱 面 磁盘 上 的 磁道 、 扁 区 和 知 


样 的 磁道 ， 
(Cylinders)”, 从 外 至 里 编号 为 0.1、.2…… 如 图 2.5 所 图 2.5 机械 硬盘 的 逻辑 结构 中 


示 , 便 盘 的 物理 容量 就 为 : 柱 面 (Cylinders)X 磁头 
(Heads)X 届 区 (Sector)X512KB。 


2.3.2 闪存 


闪存 (Flash 存储 下) 技术 上 属于 电 可 探 除 只 读 存 储 胡 (EEPROM) 的 一 种 ,但 与 普通 
EEPROM 在 字 节 单位 上 进行 删除 和 重 写 操作 的 存储 原理 不 同 ,闪存 的 存储 以 数据 块 单位 
进行 。 因 此 ,闪存 的 优势 在 于 写 入 大 量 数 据 时 的 高 速度 。 闪 存 存 储 介 质 主 要 有 U 盘 、SD 
卡 .XD 卡 .记忆 棒 等 。 
1. U 盘 
U 盘 ( 全 称 为 USB 闪存 盘 ,Universal Serial Bus flash disk) 是 一 种 采用 USB 接口 的 移 
动 存储 器 ,其 存储 介质 为 内 存 , 只 需 通 过 USB 接口 连接 到 计算 机 上 就 可 以 进行 读 写 操作 , 实 
现 了 即 插 即 用 。U 盘 的 结构 很 催 单 ,主要 由 外 壳 和 机 必 两 部 分 构成 。 外 元 的 主要 作用 是 保 
护 内 部 机 忆 不 受 损 坏 ; 机 必 主 要 由 PCB 板 、 闪 存 \ 主 控 蕊 片 \ 吊 振 \、 稳 压 IC 等 组 成 ,如 图 2.6 
所 示 。 
2. 固态 硬盘 
在 架构 上 ,固态 便 盘 (Solid-State Drive,SSD) 与 传统 机 械 便 盘 基 本 相似 ,只 是 将 原来 机 
械 部 分 的 马达 ,人 碟 片 ,磁头 换 成 了 内 存 颗 粒 。 主 控 已 厂 、 总 线 接口 均 保 留 了 下 来 ,如 图 2.7 所 
示 。 固 态 便 盘 相对 传统 机 械 人 硬盘 ,改变 的 仅仅 是 存储 介质 ,但 是 制造 技术 门槛 大 大 降低 , 固 
@ ”根据 硬盘 规格 不 同 磁道 数 可 以 是 几 百 到 数 千 不 等 ,一 个 磁道 上 可 以 容纳 数量 不 等 的 数据 。 


加 相 邻 的 辜 区 组 合 在 一 起 ,形成 一 个 篮 ,操作 系统 对 篮 进 行 管理 。 每 个 艇 可 以 包括 2.4.8.16.32 或 64 个 悄 区 。 秘 
是 操作 系统 所 使 用 的 逻辑 概念 。 
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内 存心 片 主 控 坊 片 USB 接 口 


图 2.6 使 用 TSOP 封 效 闪 存世 卢 的 U 盘 的 内 部 结构 


仿 便 盘 出 现 了 大 量 广 商 。 主 流 固 态 便 盘 厂商 有 : Intel、Samsung、Toshiba、OCZ 等 。 目 前 主 
流 的 固态 硬盘 的 读 写 速度 超过 500MB/s ,性 能 远 远 超过 机 械 硬 盘 。 


固态 硬盘 ( SSD ) 
SATA 信 号 及 电源 连接 器 


内 部 视图 


一 NANDIA 和 存 控 制 带 


NAND 站 存心 片 


图 2.7 固态 人 硬盘 结构 


2.3.3 存储 器 指标 


在 电子 数据 取证 过 程 中 取证 人 员 不 仅 要 了 解 存储 介质 的 结构 和 存储 原理 ,还 需要 了 解 
存储 介质 的 主要 技术 指标 。 电 子 数据 取证 涉及 的 存储 融 的 指标 有 : 存储 容量 .数据 传输 率 
和 接口 。 

1. 存储 器 容量 

存储 容量 是 存储 介质 中 可 以 容纳 二 进 制 信息 的 总 量 , 即 存储 容量 = 存储 单元 数 X 存 储 
字 长 。 存储 容量 越 大 存储 的 信息 就 越 多 。 存 储 容 量 通 常用 位 (bit) 或 字 广 (Byte) 来 表示 ,一 
般 一 个 字 市 定义 为 8 个 二 进 制 位 ,因此 计算 机 中 一 个 字 的 字 长 通常 是 8 的 整数 倍 。 如 
32KB、64KB、128MB 等 ,其 中 1KB==2"B,1MB= 二 2 ”KB。 外 存 中 为 了 表示 更 大 的 存储 容 
量 ,采用 GB.TB 等 单位 ,其 中 1TB==2*GB,1GB= 一 2*MB( 单 位 B 表示 字 节 ) 。 
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2. 数据 传输 率 

数据 传输 率 是 指 单位 时 间 内 存储 硕 所 存 取 的 信息 量 , 度 量 单位 通 稼 为 位 (bit)/ 秒 或 字 
方 (Byte)/ 秒 ,数据 传输 率 是 衡量 电子 数据 取证 效率 的 重要 技术 指标 。 速 率 越 高 ,意味 看 单 
位 时 间 镜 像 或 分 析 的 数据 越 多 。 

3. 数据 接口 

电子 数据 取证 人 员 在 工作 中 可 能 会 见 到 的 各 种 外 部 存储 介质 接口 。 接 口上 的 标识 主要 
有 :IDE、ATA 、Ultra ATA/33, Ultra ATA/66、 Ultra ATA/100. Ultra ATA/133., Ultra 
DMA/33.Ultra DMA/7/66 、 Ultra DMA/100,.Ultra DMA/133.,Serial ATA SCSI SCSI ] 、 
Wide SCSI [| .Ultra SCSI [[ 、Ultra Wide SCSI 由 、 Ultra2 SCSI、Ultral60 SCSI、 Ultra320 
SCSI。 这 些 都 是 不 同时 期 的 便 盘 接口 。 除 此 之 外 ,原来 主要 应 用 于 其 他 设备 上 的 ”Fibre 
Channel”、“IEEE 1394”“FireWire”、“iLink”、“USB” 等 接口 也 开始 出 现在 一 些 特殊 用 途 的 
新 型 便 盘 中 , 随 着 存储 设备 微型 化 ,还 出 现 了 ZIF 和 LIF 接口。 

形形色色 的 众多 接口 , 按 物 理 接口 种 类 区 分 ,第 见 的 只 有 九 类 , 即 : SATA、SAS、IDE、 
SCSI、 光 纤 通 道 (Fibre Channel) .ZIF、LIF\IEEE 1394 和 USB。SATA 和 SAS 是 目前 整个 
外 部 存储 介质 接口 的 主要 类 型 , 冒 经 流行 的 IDE 接口 已 经 被 淘汰 ,ZIF 和 LIF 接口 也 逐步 
消失 ,光纤 通道 接口 的 存储 介质 极 少 。 

按 探 制 指 令 区 分 ,存储 介质 可 以 归纳 成 两 大 类 ， 40pin IDE 接 口 、。,，| 4pin 电 源 接口 
即 ATA 类 与 SCSI 类 。SATA、IDE、ZIF、LIF 使 用 PEEEEEEEEEEEEEEEE | 5 5 
的 是 ATA 指令 ,除了 SATA 使 用 串 行 方式 传输 数 
据 , 其 他 的 部 以 并 行 方 式 传输 数据 ,又 称 为 PATA 
类 ; SCSI、SAS 和 光纤 通道 使 用 SCSI 指令 。 

(1) IDE 

IDE(Integrated Drive Electronics, 电子 集成 驱 
动 硕 ) ,本 意 指 把 "控制 融 ” 与 “ 盘 体 ” 集 成 在 一 起 的 便 
盘 驱 动 器 。 如 图 2. 8 所 示 ,这 种 把 盘 体 与 控制 右 集 成 
的 机 制 是 一 个 飞跃 ,减少 了 接口 的 电费 数目 与 长 度 ， 
数据 传输 的 可 徘 性 得 到 了 增强 。1IDE 将 硬盘 的 接口 
统一 ,对 于 生产 商 和 用 户 痢 是 有 利 的 。 各 类 PATA、 
Ultra ATA、DMA、Ultra DMA 硬盘 都 属于 IDE 接 
口 类 型 。 目 前 IDE 接口 存储 设备 已 基本 锌 淘汰, 仪 仅 在 少数 “古老 ”的 机 盖 上 能 够 见 到 。 


a = 大 


40pin IDE 接 口 


要 一 p 嘴 线 
4pin 电 源 接 口 


图 2.8 IDE 接口 
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获取 方法 : 目前 主流 的 只 旋 设 备 均 文 持 IDE。2.5 更 寸 的 IDE 便 盘 接 
口 需要 进行 转 接 ,才能 适用 于 3.5 英寸 的 IDE 连接 线 上 。 


场景 应 用 


(2) SCSI 

SCSI(Small Computer System Interface, 小 型 计算 机 系统 接口 ), 是 一 种 总 线 型 的 系统 
接口 ,每 个 SCSI 总 线 上 可 以 连接 包括 SCSI 控制 卡 在 内 的 8 个 SCSI 设备 。SCSI 的 优势 在 
于 它 支 持 多 种 设备 ,独立 的 总 线 使 得 它 对 CPU 的 占用 率 很 低 , 传 输 速 率 比 ATA 接口 快 得 
多 ,但 同时 价格 也 很 蜗 , 所 以 也 决定 了 其 普及 程度 远 不 如 其 他 接口 ,只 能 在 服务 疾 中 出 现 。 
SCSI 接口 有 多 种 形式 ,在 取证 时 要 注意 识别 ,如 图 2.9 和 图 2. 10 所 示 。 


40-Pin DC 


12-Pint 40-Pin DC 


68-Pin SCSI 总 线 接口 线 接口 Pin 1 


Pin ] 


图 2.9 SCSI 三 种 主流 接口 图 2.10 SCSI 接口 


获取 方法 : 目前 主流 的 只 读 设 备 和 复制 设备 均 文 持 SCSI。 攻 些 设 备 
需要 转 接 后 才能 正 第 使 用 。 


场景 应 用 


(3) Serial ATA 
Serial ATA, 即 串 行 ATA, 它 使 用 ATA 指令 ,以 串 行 方 式 传输 数据 ,如 图 2. 11 所 示 。 


第 2 章 ， 电 子 数据 取证 基础 知识 25 


Serial ATA 1.0 定义 的 数据 传输 率 可 达 150MB/s,Serial ATA 2.0 的 数据 传输 率 将 达到 
300MB/s，Serial ATA 3. 0 标准 实现 了 600MB/s 的 最 高 数据 传输 率 。Serial ATA 接口 的 
拓展 性 更 强 ,采用 点 对 点 的 传输 协议 ,所 以 不 存在 IDE 设备 的 主 从 跳 线 问题 。 
eSATA(CExternal Serial ATA) ,是 为 面 问 外 接 驱 动 硕 而 制定 的 Serial ATA 的 扩展 规 
格 。 为 了 防止 误 接 ,eSATA 的 接口 形状 与 SATA 的 接口 形状 是 不 一 样 的 ,如 图 2.12 所 示 。 


”SATA 硬 盘 
电 省 线 接口 


一 一 | 一 一 | 


会 A eSATA SATA 


图 2.11 SATA 接口 图 2.12 eSATA 和 SATA 接口 对 比 图 


获取 方法 : 目前 主流 的 只 读 设 备 均 文 持 SATA。MICRO SATA 等 特 
殊 SATA 接口 需要 转 接 才能 使 用 。 


场景 应 用 


(4) SAS 

SAS(Serial Attached SCSI, 串 行 连接 SCSI) ,是 新 一 代 的 SCSI 技术 ,和 现在 流行 的 
Serial ATA(CSATA) 人 硬盘 相同 ,都 是 采用 串 行 技术 以 获得 更 高 的 传输 速度 ,并 通过 缩短 连接 
线 改 善 内 部 空间 等 ,但 是 SAS 使 用 SCSI 指令 。SAS 接口 的 设计 是 改善 了 存储 系统 的 效 
能 、 可 用 性 和 扩充 性 ,并且 提供 与 SATA 硬盘 的 兼容 性 ,如 图 2.13 所 示 。 

SAS 的 接口 在 SATA 的 基础 上 发 展 而 来 ,通过 巧妙 的 设计 增加 了 一 个 数据 端口 ,在 确 
保 兼 容 SATA 的 前 提 下 完成 了 双 端 口 这 一 看 似 “ 不 可 能 的 任务 ”。SAS 线 统 既 可 以 连接 
SAS 硬盘 驱动 需 , 也 能 够 连接 SATA 硬盘 驱动 器 。 而 SATA 线 缆 无 法 应 用 于 SAS 硬盘 上 。 

(5) USB 

USB 全 称 为 通用 串 行 总 线 ,更 文人 全 称 为 Universal Serial Bus ,人 向 称 USB, 是 IBM 更 特 
尔 等 多 家 公司 于 1996 年 联合 推出 的 ,是 目前 应 用 较为 广泛 的 接口 标准 。USB 接口 是 四 针 
接口 ,如 图 2. 14 所 示 ,其 中 中 间 相 对 较 短 的 两 个 针 是 USB 数据 线 ,用 于 传输 数据 ,有 正 负 之 
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分 ; 两 边 相 对 较 长 的 两 个 针 用 于 给 外 部 设备 供电 ,其 中 最 右边 的 一 针 连 接 电 源 ,最 左边 的 一 
针 接 地 。USB 接口 连接 简单 ,传输 速度 快 , 新 的 USB 3. 0 速度 超过 2Gbps, 旦 价格 低廉 , 支 


持 热 插 拔 书展 性 能 民 好 ,最 多 可 连接 127 个 设备 。 


| Sb A 1 ] 

WL, = HW el 

| 地 线 USB 电 源 线 
USB 数 据 线 ( 负 ) “USB 数 据 线 ( 正 ) 


图 2.14 USB 接口 


获取 方法 : 主流 的 人 硬盘 镜像 设备 和 写 保 护 设 备 均 支 持 SAS 和 USB 接 
口 便 盘 ， 


场景 应 用 


2.4 网 络 基 础 知识 


网 络 (CNetwork) 由 节点 和 连接 记 点 的 链 路 组 合 而 成 ,实现 网 络 黄 源 共 暗 和 信息 交换 。 
万 点 可 以 是 计算 机 、 交 换 篆 、 集 线 表 或 路 由 前 等 , 链 路 作为 太 点 间 的 直接 连接 ,是 世 氮 加 交互 
的 桥梁 和 通路 。 大 量 的 犯罪 行为 发 生 在 网 络 上 ,电子 数据 取证 人 员 不 但 应 当 了 解 计算 机 的 
运行 机 制 ,更 要 充分 了 解 网 络 染 构 , 以 采用 正确 的 网 络 取证 技术 。 


2.4.1 网 络 的 分 类 

计算 机 网 络 履 兰 范 围 大 小 不 同 , 依 据 划分 标准 可 以 将 计算 机 网 络 分 为 广域网 (Wide 
Area Network,WAN) , 城 域 网 (Metropolitan Area Network,MAN) 和 局 域 网 (Local Area 
Network , LAN) 。 

广域网 、 城 域 网 和 局 域 网 只 是 计算 机 网 络 依据 其 作用 和 犯 围 不 同 的 分 类 ,各 了 网络 内 部 是 如 
何 构建 的 ,就 需要 考虑 网 络 拓扑 结构 。 网 络 折 扑 结构 指 连 接 网 络 中 设备 的 物理 布局 , 即 用 什 
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么 结构 和 方式 把 网 络 主机 连接 起 来 。 依 据 拓 扑 结构 不 同 , 计 算 机 网 络 主要 分 为 总 线 结构 . 星 
形 结 构 和 环 状 结构 网 络 。 


2.4.2 网 络 体系 结构 


为 保证 网 络 中 计算 机 通信 工作 高 度 协调 ,计算 机 网 络 采用 层次 体系 结构 ,将 网 络 通信 功 
能 分 成 逻辑 上 相互 独立 的 多 层 , 每 一 层 具有 特定 的 功能 ,并 且 加 上 一 层 和 下 一 层 提供 对 应 的 
接口 。 自 IBM 于 1974 年 提出 世界 上 第 一 个 网 络 体 系 结构 一 一 系统 网 络 体系 结构 (System 
Network Architecture,;SNA) 后 ,许多 公司 和 组 织 纷 纷 提出 自己 的 分 层 网 络 体系 结构 ,应 用 
最 为 广泛 的 是 OSI 参考 模型 和 TCP/IP 协议 。 

1. OSI 参考 模型 

开放 式 系统 互 连 参 考 模 型 (Open System Interconnection/ Reference Model,OSI/ RM ) ， 
是 国际 标准 化 组 织 (ISO) 于 1978 年 提出 的 ,目的 在 于 使 不 同 计算 机 厂商 生产 的 计算 机 可 以 
相互 通信 。OSI 参考 模型 将 整个 网 络 的 通信 功能 划分 为 物理 层 、 数 据 链 路 层 、 网 络 层 \ 传 输 
层 ,会 话 层 、 表 示 层 ,应 用 层 7 个 层次 ,各 层 完 成 不 同 的 工作 。 

2. TCP/IP 协议 族 

TCP/IP 协议 也 是 全 世界 广泛 使 用 的 通信 协议 , 它 并 不 是 简单 的 TCP 协议 和 IP 协议 
的 组 合 ,而 是 一 个 协议 族 , 包 含 众多 协议 。 与 OSI 参考 模型 不 同 ,TCP/IP 协议 采用 四 层 结 
构 ,分 别 为 网 络 访问 层 、 互 连 层 、 传 输 层 和 应 用 层 , 如 图 2. 15 所 示 。 


应 用 技 


< 
~ 


传输 层 


数据 链 路 技 


网 络 访问 层 


图 2.15 OSI 参考 模型 ( 左 ) 与 TCP/IP 协议 模型 ( 右 ) 结 构 对 应 关系 图 
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2.4.3 网 络 协 议 


网 络 中 的 计算 机 要 进行 通信 必须 制定 一 系列 标准 和 准则 ,通信 双方 按照 规定 进行 信息 
的 转换 发 送 和 接收 等 操作 ,才能 够 进行 完整 的 无 差异 的 通信 ,这 些 标准 和 准则 就 称 为 网 络 
协议 。 网 络 协 议 就 是 定制 的 信息 转换 规则 、 发 送 规 则 、 接 收 规 则 和 安全 规则 等 。 

网 络 协议 在 TCP/IP 协议 模型 的 实现 中 具有 举足轻重 的 作用 ,在 网 络 电子 效 据 取证 过 
程 中 ,熟悉 网 络 协议 可 在 很 大 程度 上 提高 电子 数据 取证 和 分 析 的 效率 。 现 在 计算 机 网 络 中 
使 用 的 协议 很 多 ,主要 包括 TCP 协议 、IP 协议 .UDP 协议 .ARP 协议 和 HTTP 协议 等 。 

1. TCP 协议 

传输 控制 协议 (Transmission Control Protocol，;TCP) 最 早 在 IETFL 的 RFC 7939 文件 
内 说 明 ,是 一 种 基于 字 市 流 的 可 菲 的 面 回 连接 的 通信 协议 。 

TCP 协议 的 最 大 特点 是 “ 面 问 连接 ”。“ 面 向 连接 ” 指 网 络 中 通信 双方 在 通信 前 会 进行 
三 次 握手 预先 建 立 一 条 完整 的 连接 ,通信 双方 只 会 通过 此 连接 传递 信息 ,而 不 会 选择 其 他 链 
路 ,就 像 实际 生 活 中 打 电 话 , 只 有 拨 通 对 方 电话 后 才 可 以 进行 交流 。 三 次 握手 建立 连接 过 程 
如 图 2.16 所 示 。 


图 2. 16 三 次 握手 过 程 


2. UDP 协议 
用 户 数据 报 协议 (User Datagram Protocol,UDP) ,最 早 由 IETEF 的 RFC768 文件 正式 
规范 。 当 用 户 对 应 用 程序 数据 精度 要 求 不 高 时 ,如 视频 和 音频 等 ,可 以 使 用 UDP 协议 。 


IETEF ,互联 网 工程 任务 组 , 始 建 于 1986 年 ,主要 致力 于 推动 Internet 标准 规范 制定 。 
RFC ,英文 全 称 Request For Comments, 中 文 意思 为 “征求 意见 修订 书 ”, 包 含 关 于 Internet 的 几乎 所 有 重要 的 文 
字 资 料 。 
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UDP 协议 提供 面 回 无 连接 的 不 可 徘 的 效 据 传输 服务 ,不 会 对 数据 进行 分 组 . 封 表 和 排序 ,而 
是 交 巾 应 用 层 完 成 。 网 络 主机 无 须 预先 建立 连接 ,直接 将 数据 发 送出 去 即 可 ， 因此 无 法 确保 
数据 是 否 安全 完整 达到 目的 端 。 

3. IP 协议 

网 际 协 议 (Internet Protocol, IP), 是 TCP/IP 协议 族 中 的 核心 协议 ,是 TCP/IP 的 载 
体 , 也 是 最 重要 的 互联 网 标准 协议 之 一 

IP 地 址 (Internet Protocol Address ,网 际 协 议 地 址 ) 是 IP 协议 实现 其 功能 的 一 个 重要 
因素 ,是 IP 协议 提供 的 一 种 统一 的 地 址 格式 ,唯一 标识 网 络 中 的 茶 台 主机 。 如 末 将 网 络 主 
机 看 作 一 台电 话 ,那么 IP 地 址 就 相当 于 这 人 台电 话 的 电话 号 人 码 。 

IP 地 址 是 网 络 中 的 一 种 数字 表示 ,由 4 个 字 广 组 成 , 共 占 用 32 位 ,代表 了 网 络 地 址 和 
主机 地 址 。IP 地 址 通常 用 “点 分 十 进 制 ”* 表 示 成 “A. B.C. D” 的 形式 ,其 中 A、B.C 和 DD 是 
0 一 255 间 的 十 进 制 整数 ,如 点 分 十 进 制 IP 地 址 192. 168. 1. 222, 其 中 “192. 168.1” 是 网 络 地 
址 ,“222” 是 主机 地 址 。 

为 了 使 用 不 同 网 络 的 需要 ,IP 地 址 被 分 为 A、B、.C.D 和 EE 五 类 ,其 中 A、B 和 C 类 IP 地 
址 是 基本 类 ,D 和 下 类 IP 地址 作为 多 播 和 保留 使 用 。 

4. HTTP 协议 

超 文 本 传输 协议 (Hyper Text Transfer Protocol, HTTP) 是 应 用 最 为 广 沁 的 一 种 网 络 
协议 ,提供 了 一 种 发 布 和 接收 HTML 页 面 的 方法 。1960 年 ,美国 科学 家 泰 德 . 纳尔逊 (Ted 
Nelson) 构 思 出 一 种 通过 计算 机 处 理 文 本 信息 的 方法 , 称 之 为 超 文 本 (Hyper Text) , 芮 定 了 
HTTP 协议 标准 框架 的 发 展 根 基 。 随 后 ,万 维 网 协议 (Word Wide Web Consortium，W3C) 
和 IETF 合作 研究 ,发 布 了 一 系列 RFC 对 HTTP 协议 进行 定义 和 规范 ,其 中 RFC2616 定 
义 了 普遍 使 用 的 HTTP1. 1。 


2.5 操作 系统 


操作 系统 (Operating System,OS) 是 管理 和 控制 计算 机 硬件 与 软件 资源 的 程序 ,是 直接 
在 电子 设备 上 的 最 基本 的 系统 软件 ,任何 应 用 软件 都 必须 在 操作 系统 的 支持 下 才能 


| | 


云 行 ， 

操作 系统 的 功能 包括 省 理 系统 的 人 硬件 ,软件 及 数据 资源 、 控 制程 序 运 行 、 为 其 他 应 用 软 
件 提 供 支 持 等 ,使 系统 所 有 资源 最 大 限度 地 发 挥 作 用 。 操 作 系 统 提 供 一 个 让 用 户 与 系统 交 
互 的 操作 接口 ,包括 各 种 形式 的 用 户 界 面 ,使 用 户 有 一 个 好 的 工作 环境 。 标 准 的 操作 系统 应 
该 具备 以 下 的 功能 : 进程 管理 (Processing management) 内存 管理 (Memory management), 文 
件 系统 (File system)、 网 络 通信 (Networking)、 安 全 机 制 (CSecurity)、 用 户 界 面 (User 


DD RFC2616 于 1996 年 6 月 发 布 。 
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interface) 、 驱 动 程序 (Device drivers) 。 

操作 系统 的 种 类 相当 多 , 按 应 用 领域 划分 主要 有 三 种 : 果 面 操作 系统 、 服 务 器 操作 系统 
和 岗 入 式 操 作 系 统 ，。 

(1) 果 面 操作 系统 主要 用 于 个 人 计算 机 上 。 个 人 计算 机 市 场 从 人 硬件 染 构 上 来 说 主要 分 
为 两 大 阵营 : PC 与 Mac 机 。 对 应 的 操作 系统 可 主要 分 为 两 大 类 : Windows 操作 系统 和 
MAC 操作 系统 。 

(2) 服务 器 操作 系统 一 般 指 的 是 安装 在 大 型 计算 机 上 的 操作 系统 ,比如 Web 服务 器 、 
应 用 服务 兰 和 数据 库 服务 融和 等。 服务 需 操 作 系 统 主 要 集中 在 三 大 类 : UNIX 系列 、Linux 系 
列 Windows 系列 。 

(3) 通信 式 操作 系统 ,又 称 为 移动 操作 系统 。 和 通 人 式 系 统 洱 症 范 围 从 便携 设备 到 大 型 
固定 设施 ,如 数码 相机 、 手 机、 平板 电脑 、 家 用 电 带 .医疗 设备、 交通 灯 .航空 电子 设备 和 工 贱 
控制 设备 等 。 在 舱 入 式 领 域 第 用 的 操作 系统 有 鸯 入 式 Linux、Windows Embedded、 
VxWorks 等 ,以 及 广 沁 使 用 在 移动 设备 的 操作 系统 ,如 Android、iOS、Symbian、Windows 
Phone 和 BlackBerry OS 等 。 


2.5.1 主要 可 作 系 统 简 介 


1. Windows 

Windows 是 微软 公司 研 发 的 操作 系统 , 它 问 世 于 1985 年 (Windows 1.0) ,起 初 仅仅 是 
Microsoft DOS 模拟 环境 。 在 Windows 3. 1 使 用 图 形 界 面 (GUI) 后 ,其 题 履 性 的 设计 迅速 
占领 了 操作 系统 的 市 场 , 是 目前 应 用 最 为 广泛 的 操作 系统 。 

随 着 电脑 硬件 和 软件 的 不 断 升 级 , Windows 也 在 不 断 升 级 ,架构 从 16 位 .32 位 再 到 64 
位 。 系 统 版 本 从 最 初 的 Windows 1.0、Windows 3.0、Windows 3. 1、Windows 3.2 到 广 为 人 
知 的 Windows 95、Windows 98、Windows ME、 Windows 2000、Windows 2003、 Windows XP、 
Windows Vista、Windows 7、Windows 8、Windows 8.1、Windows 10 和 Windows Server 上 服 
务 硕 企业 级 操作 系统 。Windows 的 标志 如 图 2. 17 所 示 。 


四 是 Windows 10 


图 2.17 Windows 10 标志 


2. Mac OS 
Mac OS 是 苹果 公司 开发 的 基于 UNIX 内 核 的 图 形 化 操作 系统 。 当 前 主流 版 本 为 Mac 
OS X。Mac OS 的 架构 与 Windows 截然 不 同 , 日 Mac OS 是 相对 封闭 的 操作 系统 ,每 个 


DD http://www. apple. com/cn/osx/ 
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Mac 程序 的 发 布 都 需要 经 过 苹果 公司 的 审核 和 验证 ,所 以 Mac OS 比较 安全 。 

2011 年 7 月 20 日 MacOSX 已 经 正式 被 苹果 改名 为 OS X。 最 新 版 本 为 10. 10。Mac 
OS X 的 标志 如 图 2. 18 所 示 。 

3. UNIXT/Linux® 

UNIX 是 强大 的 多 用 户 ,多 任务 操作 系统 ,支持 多 种 处 理 器 架构 ,最 早 由 AT&T 公 司 和 
SCO 公司 共同 推出 。 目 前 市 场 上 有 大 量 的 由 UNIX 演化 而 来 的 操作 系统 , 称 为 类 UNIX 
(UNIX-like)。 常 见 的 类 UNIX 操作 系统 有 AIX、FreeBSD、 Solaris、OpenBSD 等 。UNIX 
主要 应 用 于 大 型 服务 器 中 。 

Linux 是 免费 的 类 UNIX 操作 系统 ,是 基于 POSIX 和 UNIX 的 多 用 户 、 多 任务 支持 多 
线程 和 多 CPU 的 操作 系统 。Linux 继承 了 UNIX 以 网 络 为 核心 的 设计 思想 。 严 格 来 讲 ， 
Linux 这 个 词 本 身 只 表示 Linux 内 核 , 但 实际 上 人 们 已 经 习惯 了 用 Linux 来 形容 整个 基于 
Linux 内 核 的 操作 系统 。Linux 的 标志 如 图 2. 19 所 示 。 


Di 


图 2.18 MacOSsX 标 志 图 2.19 Linux 标志 


4. Android® 
Android 是 由 Google 公司 和 开放 手机 联盟 (Open Handset Alliance) 领 导 及 开发 的 
-种 基于 Linux 的 日 由 及 开放 源 代 人 码 的 操作 系统 ,主要 应 用 于 智能 手机 或 平板 电脑 等 移动 
设备 。Android 的 标志 如 图 2. 20 所 示 。 

Android 系统 以 其 开放 、 匈 用 等 特点 迅速 占领 移动 终 问 市 场 。 目 前 ,Android 设备 的 数 
量 已 经 超过 10 亿 台 ; 任何 人 或 组 织 都 参与 到 Android 应 用 程序 的 开发 中 , 极 大 地 推动 了 
Android 的 普及 。 

5. iOS® 

iOS 是 由 苹果 公司 开发 的 移动 操作 系统 。 蔷 果 公 司 最 早 于 2007 年 1 月 9 日 的 
Macworld 大 会 上 公布 这 个 系统 ,最 初 是 设计 给 iPhone 使 用 的 ,后 来 陆续 适用 于 iPod 
touch jiPad 以 及 Apple TV 等 移动 产品 上 。1OS 与 芋 果 的 Mac OS X 操作 系统 一 样 ,属于 类 


http: / /www. unix. org/ 
http://www. linux. org/ 
http:/ /developer. android. com 
http://www. google. com 
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作 系 统 。iOS 的 标志 如 图 2. 21 所 示 。 


a -经 


UNIX 的 商业 操 


a 
AMN2O R301 
2.20 Android 标志 图 2.21 iOS 标志 


6. Windows Phone 

Windows Phone 是 微软 发 布 的 一 球 手 机 操作 系统 。 微 软 公 司 于 2010 年 10 月 11 日 发 
布 智能 手机 操作 系统 Windows Phone。2011 年 2 月 ,诺基亚 与 微软 达成 全 球 战略 同盟 并 合 
作 研 发 Windows Phone 操作 系统 。2011 年 9 月 27 日 ,微软 发 布 Windows Phone 7.5; 2012 
年 6 月 21 日 ,微软 正式 发 布 Windows Phone 84, 采 用 和 Windows 8 相同 的 Windows NT 内 核 。 
Windows Phone 的 标志 如 图 2. 22 所 示 。 


Windows Phone 


一 Nl RedesignNed around You 


2.22 Windows Phone 标志 


2.6 数据 组 织 


虽然 存储 介质 的 物理 结构 、 存 储 原 理 不 尽 相 同 ,但 是 从 数据 存储 的 人 逻辑 层面 具有 相似 的 
逻辑 结构 ,这 也 是 电子 数据 取证 能 够 对 不 同 介 质 上 的 数据 进行 取证 的 基本 原理 。 下 面 我 们 
以 电子 数据 取证 中 最 常见 的 硬盘 为 例 , 介 绍 电子 数据 组 织 的 知识 。 


2.0.1 数据 组 织 的 常识 

硬盘 在 存储 数据 之 前 ,一 般 需 经 过 低级 格式 化 .分 区 .高 级 格式 化 三 个 步骤 之 后 才能 使 
用 。 人 硬盘 经 过 三 个 步骤 的 处 理 , 将 建立 一 定 的 逻辑 数据 绪 构 。 高 级 格式 化 后 ,硬盘 也 并 不 是 
所 有 空间 都 能 使 用 ,由 于 数据 不 可 能 全 部 占 满 空间 ,因此 产生 了 松弛 区 和 未 分 配 空 间 。 


现 有 Windows Phone 7 手机 因为 内 核 不 同 , 都 将 无 法 升级 至 Windows Phone 8。 
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1. 低级 格式 化 

便 盘 低级 格式 化 (Low Level Format) 简 称 低 格 ,也 称 为 物理 格式 化 (Phvsical Format)， 
用 于 检测 人 硬盘 磁 介 质 、 划 分 磁道 、 为 每 个 磁道 划分 而 区 安排 肌 区 在 磁道 中 的 排列 顺 友 磁盘 
表面 测试 、 为 每 个 馈 区 写 人 某 一 ASCII 码 字 符 等 。 

2. 分 区 

硬盘 的 容量 比较 大 ,为 了 便于 硬盘 的 规划 和 文件 管理 ,通常 需要 进行 逻辑 分 区 。 通 过 分 
区 不 仅 根 据 用 户 需求 将 硬盘 的 存储 空间 进行 了 合理 划分 ,而 且 还 在 便 盘 的 0 柱 面 .0 磁头 、1 
面 区 上 建立 人 硬盘 的 主 引 导 记 录 (Master Boot Recorder,MBR), 即 主 引 导 户 区 。 

3. 融 级 格式 化 

高 级 格式 化 又 被 称 为 逻辑 格式 化 ,是 根据 用 户 选 定 的 文件 系统 (如 FAT12、FAT16、 
FAT32 NTFS、Ext2、Ext3 等 ) ,在 便 盘 的 特定 区 域 写 人 特定 数据 ,以 达到 初始 化 便 盘 或 便 
盘 分 区 .清除 原 硬 盘 或 便 盘 分 区 中 所 有 文件 的 操作 。 高 级 格式 化 包括 对 主 引 导 记 录 中 分 区 
表 相 应 区 域 进行 重 写 ,根据 用 户 选 定 的 文件 系统 ,在 分 区 中 划 出 一 厂 用 于 存放 文件 分 配 表 、 
目录 表 等 用 于 文件 管理 的 便 盘 空间 ,以 便 用 户 使 用 该 分 区 管理 文件 。 对 于 FAT 文件 系统 ， 
高 级 格式 化 过 程 将 要 创建 DBR 区 FAT 区 、FDT 区 和 DATA 区 。DOS/Windows 的 文件 
系统 主要 有 FAT、NTFS、exFAT 等 , Apple 系统 的 文件 系统 主要 有 HFS、HFS 十 两 种 ， 
Linux 系统 的 文件 系统 常见 的 有 Ext2、Ext3、Ext4 等 。 

4. 松弛 区 (Slack) 

便 盘 存储 空间 是 以 复 为 单位 分 配 的 ,如 果 文 件 的 长 度 不 是 簇 长 度 的 整数 倍 , 那 么 分 配给 
文件 的 最 后 一 复 中 会 有 未 被 当前 文件 占用 的 镜 余 空间 ,这 部 分 空间 叫 松弛 区 (Slack) , 如 
图 2. 23 所 示 。 松 弛 区 中 可 能 包含 了 先前 文件 遗留 下 来 的 信息 ,这 部 分 信息 可 能 是 有 用 的 
证 据 。 


文件 结束 点 


文件 逻辑 大 小 


一 一 一 文件 物理 大 小 


文件 占用 存储 至 
则 的 结束 点 


图 2.23 松弛 区 (Slack) 示 意图 
5. 未 分 配 空间 (Unallocated space) 
没有 分 配给 任何 卷 的 可 用 便 盘 空间 称 为 未 分 配 空 间 , 这 部 分 空间 同样 会 保存 有 重要 数 
据 。 在 犯罪 嫌疑 人 重新 格式 化 便 盘 或 者 删除 分 区 之 后 ,这 些 区 域 中 还 留存 有 重要 信息 。 通 
过 特定 技术 ,可 以 还 原 人 硬盘 原 有 分 区 力 至 所 有 未 被 履 盖 信息 。 
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2.6.2 分 区 结构 


当前 主流 的 分 区 结构 主要 包括 MBR 硬盘 分 区 .动态 便 盘 分 区 、GPT 便 盘 分 区 .Solaris 
硬盘 分 区 .APM 硬盘 分 区 等 。 这 里 我 们 主要 阐述 最 为 常用 的 MBR 硬盘 分 区 分 区 结构 ,如 
图 2. 24 所 示 。 
硬盘 分 区 表 


主 引导 程 结束 标志 55 AA 
引导 程序 (Disk Partition Table) 结束 标志 


> 移 地 十 0 一 1BDH 偏 移 地 址 IFEH 一 1FFH 
偶 移 地 址 0 偏 移 地 址 1 BEH~1FDH 四 


图 2.24 MBR 结构 


MBR 硬盘 分 区 是 使 用 最 为 广泛 的 一 种 分 区 结构 ,不仅 应 用 于 微软 的 操作 系统 平台 中 的 
分 区 结构 ,而且 Linux 系统 、 基 于 x86 架构 的 UNIX 系统 都 能 够 支持 MBR 人 硬盘 分 区 。MBR 
人 硬盘 分 区 都 有 一 个 引导 扇 区 ,被 称 为 主 引 导 记 录 (Main Boot Record, 即 MBR)。MBR 位 于 
整个 硬盘 的 第 一 个 扇 区 , 即 0 柱 面 0 磁头 1 扇 区 ,其 LBA 地 址 为 0, 共 有 512 字 节 ,由 四 部 分 
结构 组 成 。 其 中 主 引 导 记 录 的 作用 就 是 检查 分 区 表 是 否 正确 以 及 确定 哪个 分 区 为 引导 分 
区 ,并 在 程序 结束 时 把 该 分 区 的 启动 程序 (也 就 是 操作 系统 引导 悄 区 ) 调 入 内 存 加 以 执行 。 
MBR 是 由 分 区 程序 (例如 DOS 的 Fdisk. exe) 产 生 的 ,不 同 的 操作 系统 可 能 这 个 刷 区 会 不 尽 
相同 。 

MBR 硬盘 是 通过 分 区 表 项 对 分 区 进行 管理 的 ,分 区 形式 一 般 有 三 种 , 即 主 分 区 .扩展 分 
区 和 非 DOS 分 区 。 

(1) 主 分 区 又 被 称 为 主 DOS 分 区 (Primary DOS Partition) 或 主 便 盘 分 区 ,由 于 在 MBR 
的 分 区 表 中 只 有 64 个 字 方 ,以 16 衬 廊 为 一 个 分 区 表 项 来 捅 述 一 个 分 区 的 结构 ,因此 一 块 便 
盘 最 多 可 以 有 4 个 主 硬盘 分 区 ,被 激活 的 主 硬盘 分 区 称 为 主 分 区 , 主 分 区 在 一 块 便 盘 中 只 能 
= 

(2) 扩展 分 区 又 被 称 为 扩展 DOS 分 区 (Extended DOS Partition) ,严格 地 讲 , 它 不 是 一 
个 实际 意义 的 分 区 , 它 仅 仅 是 一 个 指 回 下 一 个 用 来 定义 分 区 的 参数 的 指针 ,这 种 指针 结构 形 
成 一 个 单 向 链表 。 这 样 在 主 引 导 扇 区 中 除了 主人 硬盘 分 区 外 , 仅 需 要 存储 一 个 被 称 为 扩展 分 
区 的 分 区 信息 ,通过 这 个 扩展 分 区 的 信息 就 可 以 找到 下 一 个 分 区 (实际 上 也 就 是 下 一 个 逻辑 
人 硬盘) 的 起 始 位 置 , 以 此 起 始 位置 类 推 找到 所 有 的 分 区 。 扩 展 分 区 中 的 每 个 逻辑 驱动 硕 的 分 
区 信息 都 存在 一 个 类 似 于 MBR 的 扩展 引导 记录 (Extended Boot Record,EBR) 中 ,扩展 分 
区 结构 如 图 2. 25 所 示 。EBR 包括 分 区 表 和 结束 标志 55 AA, 没 有 引导 代码 部 分 。EBR 中 
分 区 表 的 第 一 项 描述 第 一 个 逻辑 驱动 器 ,第 二 项 指向 下 一 个 逻辑 驱动 器 的 EBR, 如果 不 存 


在 下 一 个 逻辑 驱动 大, 第 二 项 就 不 震 要 使 用 。 这 里 需要 注意 的 是 ,一 块 便 盘 最 多 只 能 有 一 个 


扩展 分 区 。 
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分 区 表 硕 1 | 
EBR1 的 分 区 表 
一 
9 
7 


”分 区 表 项 1 | 
EBR2 的 分 区 表 
分 区 表 项 3 | 


于 扩展 分 区 2 


= 
EBR3 的 分 区 表 


图 2.25 扩展 分 区 结构 


(3) 非 DOS 分 区 (Non-DOS Partition) 是 将 价 盘 中 的 一 块 区 域 单 独 划 分 出 来 供 男 一 个 
操作 系统 使 用 ,如 Linux 和 UNIX 等 。 


2.6.3 文件 系统 


为 了 方便 使 用 和 管理 ,硬盘 上 的 数据 都 是 以 文件 的 形式 进行 存储 的 ,操作 系统 大 多 有 上 月 
己 的 文件 管理 系统 ,用 以 实现 对 便 盘 数据 的 高 效 管 理 。 

1. FAT 文件 系统 

FAT(File Allocation Table) 文 件 系 统 是 DOS/Windows 系列 操作 系统 中 使 用 的 一 种 
文件 系统 的 总 称 , 有 站 三 种 类 型 “FAT” 后 面 的 数字 ,表示 FAT 表 中 
每 个 FAT 项 的 数据 位 数 (8 位 为 一 个 字 节 )。 下 面 以 FAT32 为 例 讲解 FAT 文件 系统 结构 。 

FAT 文件 系统 由 DBR 区 、FAT ED 区 和 DATA 区 4 个 区 域 组 成 。 计 算 机 系统 启 
动 后 ,由 MBR 引导 调 入 活动 分 区 的 DBR ,控制 权 移交 给 DBR ,再 由 DBR 来 引导 操作 系统 。 
通过 读 取 DBR 扇 区 内 的 “保留 户 区 数 ” 和 “每 FAT 肩 区 数 ”, 系 统 可 以 定位 到 文件 目录 表 
FDT 区 。FAT 表 对 于 FAT 文件 系统 是 极为 关键 的 一 个 组 成 部 分 ,DATA 区 中 的 数据 文件 
都 是 以 簇 为 单位 进行 存储 的 ,每 一 个 簇 都 会 与 FAT 表 中 的 有 且 仅 有 一 个 FEAT 项 相对 应 。 
文件 系统 写 入 数据 时 只 是 改写 相应 的 FAT 区 、FDT 区 和 DATA 区 。 各 区 域 数据 结构 如 
图 2. 26 所 示 。 

(1) DBR 区 

引导 记录 区 (DOS Boot Record) ,开始 于 人 硬盘 0 柱 面 1 磁头 1 朵 区 ,是 操作 系统 可 以 二 
接 访 问 的 第 一 个 届 区 。DBR 的 主要 功能 是 : 在 DOS/Windows 操作 系统 进行 引导 时 ,DBR 
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446 字 节 | / FDTIX 


分 区 表 0 | 本 

启动 代码 

ee 
420 子 ' - 


分 区 表 3 
和 
结束 标志 结束 标志 


图 2.26 FAT 文件 系统 数据 结构 


是 除 便 盘 的 MBR 之 外 第 一 个 需 装载 的 程序 段 。DBR 被 引导 调 入 内 存 后 , 便 开 始 执行 引导 
程序 段 ,引导 操作 系统 ,其 主要 任务 是 滤 载 DOS 的 系统 隐藏 文件 ID. SYS。 

(2) FAT 区 

文件 分 配 表 (File Allocation Table) ,是 文件 系统 用 来 给 每 个 文件 分 配 便 盘 物 理 空 间 的 
表格 ,其 中 记录 着 数据 区 中 每 个 数据 文件 对 应 的 簇 ,以 及 每 个 簇 的 当前 使 用 状态 。FAT 文 
件 系 统一 般 都 有 两 个 FAT 表 : FAT1 是 基本 FAT 表 ,FAT2 是 备份 FAT 表 。 两 个 表 都 由 
格式 化 程序 在 对 分 区 进行 格式 化 时 创建 ,长 度 和 内 容 相 同 ,FAT1 紧 接 着 DBR 之 后 存放 ， 
FAT2 跟 在 FAT1 之 后 。 

文件 分 配 表 (FAT) 由 表 头 和 簇 映射 (Cluster Map) 组 成 。FAT 表 的 表 头 包含 紧 跟 在 引 
导出 区 之 后 的 两 个 项 : 分 区 所 在 的 介质 类 型 和 分 区 状态 。 在 FAT 表 头 之 后 的 是 族 映 射 。 
族 上 映射 由 FAT 表 项 构成 ,每 个 FAT 表 项 部 与 数据 区 中 的 艇 一 一 对 应 ,分 区 上 每 一 个 可 用 
的 簇 在 FAT 中 都 有 且 仅 有 一 个 FAT 表 项 与 之 相对 应 。FAT 表 项 值 用 于 标记 该 簇 的 使 用 
状态 ,其 中 记录 复 的 使 用 状态 包括 Unallocated( 未 分 配 族 ),Allocated( 已 分 配 族 ) 以 及 Bad 
( 坏 族 )。 

(3) FDT 区 

文件 目录 表 (File Directory Table) ,位 置 么 跟 在 FAT2 之 后 ,用 于 存储 目录 名 称 以 及 操 
作 系 统 使 用 的 文件 的 有 关 信 息 。 在 FAT 文件 系统 的 FDT 表 中 会 为 每 个 文件 和 文件 夹 分 
配 一 个 文件 目录 项 ,用 以 记录 文件 或 文件 夹 的 名 称 、 属 性 、 大 小 、 起 始 徐 号、 创建 时 间 
(Created Time) .创建 日 期 .最近 访问 日 期 \ 最 近 修 改 日 期 \ 最 近 修 改 时 间 (Modified Time) 
等 内 容 。 

在 电子 数据 取证 分 析 中 ,文件 创建 .访问 .修改 的 日 期 和 时 间 都 有 可 能 是 重要 信息 ,尽管 
有 些 信息 可 能 通过 使 用 程序 或 改变 系统 时 间 被 有 意 或 无 意 地 进行 修改 ,但 FDT 中 的 信息 经 
常会 在 调查 中 发 挥 重 要 作用 ,修改 时 间 (Modified Time) 是 文件 被 修改 的 时 间 ; 最 近 访 问 时 
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间 (Accessed Time) 是 应 用 程序 引用 该 文件 的 时 间 ,但 是 并 不 是 所 有 应 用 程序 都 一 定 会 更 新 
最 近 访 问 时 间 (Accessed Time) ,例如 备份 程序 读 取 这 些 文件 时 丈 不 会 更 新 最 近 访 问 时 间 
(Accessed Time); 创建 时 间 (Created Time) 是 指 文 件 首次 被 写 和 人 FDT 中 的 时 间 。 

(4) DATA 区 

数据 区 (DATA), 是 FAT 文件 系统 的 主要 区 域 , 用 于 实际 存储 文件 数据 ,以 “ 秘 ” 为 单 
位 进行 管理 。FAT32 文件 系统 DATA 区 的 内 容 主 要 包含 三 部 分 内 容 : 根 目录 、 了 于 目录 和 
文件 内 容 , 以 “ 树 ” 形 结构 存储 数据 。DATA 区 存储 数据 是 取证 的 主要 对 象 。 

2. NTFS 文件 系统 

NTFS 是 新 技术 文件 系统 (New Technology File System) 的 简称 ,是 随 着 Windows NT 
操作 系统 的 诞生 而 产生 的 文件 系统 。NTFS 是 一 个 建立 在 保护 文件 和 目录 数据 基础 上 , 同 
时 痰 屈 古 省 存储 贤 源 、 减 少 鲁 盘 占用 量 的 一 种 先进 的 文件 系统 。NTFS 是 目前 主流 的 文件 

(1) NTFS 文件 系统 的 特点 

NTFS 文件 系统 之 所 以 能 够 取代 老式 的 FAT 文件 系统 ,是 因为 相 较 于 FAT,NTFS 具 
有 许多 新 的 特性 和 优点 ,在 安全 性 .可 恢复 性 .容错 性 .文件 压缩 和 硬盘 配额 等 方面 都 较为 出 
色 。NTFS 基于 可 恢复 文件 结构 而 设计 ,能 有 效 降 低 用 户 效 据 文件 丢失 或 毁坏 的 风险 ; 提 
供 容 销 结构 日 志 ,通过 全 部 记录 用 户 的 操作 来 保护 系统 的 安全 ; 使 用 中 不 易 产 生 文 件 雁 上 户 ， 
有 效 节 约 便 盘 占用 ; 利用 B 十 树 文 件 管理 方法 来 跟 踩 文件 在 便 盘 上 的 位 置 , 相 较 于 在 FAT 
文件 系统 中 使 用 的 链表 技术 具备 更 多 的 优越 性 ,B 十 树 排序 方法 如 图 2. 27 所 示 。 


ARMY CAR DOG ENIRY1I4 FILEN TEAT | VERRY WORIH AO0OZ 


ENTRY1 ENTRY123 ENTRY99 FILEA FILEB FILED ELLET lIEXT]I IEXIA TEXTXY 


2.27 NTFS 文件 系统 的 B 十 树 排序 方法 


在 NTFS 文件 系统 中 ,使 用 " 卷 "(Volume) 来 表示 一 个 逻辑 硬盘 , 卷 可 以 是 一 个 基本 分 
区 ,一 个 扩展 分 区 中 的 逻辑 便 盘 ,或 者 是 一 个 被 视 为 非 DOS 分 区 的 人 硬盘 上 的 一 部 分 空间 ,一 
个 卷 也 可 以 是 被 操作 系统 指定 为 一 个 逻辑 驱动 需 的 人 硬盘 空间 , 它 甚 至 可 以 不 是 一 个 硬盘 上 
的 相 邻 空间 。NTFS 支持 大 容量 人 硬盘 和 在 多 个 人 硬盘 上 存储 文件 ,基于 NTFS 的 大 型 数据 库 
可 能 会 跨越 不 同 的 硬盘 。NTFS 文件 系统 与 FAT 文件 系统 一 样 , 也 是 用 簇 为 基本 单位 管理 
硬盘 空间 和 文件 存储 的 ,一 个 文件 总 是 占用 若干 个 簇 , 即 使 在 最 后 一 个 簇 没有 完全 用 完 的 情 
况 下 ,也 是 占用 了 整个 簇 的 空间 ,这 样 造成 了 硬盘 空间 的 浪费 ,但 是 也 为 残留 数据 的 恢复 提 
供 了 可 能 。 与 其 他 文件 系统 一 样 ,NTFS 文件 系统 也 记录 以 下 内 容 : 

。 对 和 象 ( 文 件 / 文 件 夹 ) 的 基本 属性 ,包括 名 称 、 日 期 时 间 信 息 、 大 小 、 属 性 等 ; 
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。 对 象 的 起 始 位 置 , 即 起 始 禾 ; 

。 对 和 象 的 数据 片段 (不 连续 的 艇 ); 

。 人 逻辑 卷 上 所 有 族 的 状态 。 

NTFS 和 FAT 文件 系统 记录 这 些 数 据 的 方法 不 同 , NTFS 的 原则 是 便 盘 上 只 有 文件 ， 
所 有 存储 在 卷 上 的 数据 都 包含 在 文件 中 。NTFS 文件 系统 将 文件 作为 属性 /属性 值 的 集合 
来 处 理 , 文 件 的 数据 部 分 作为 未 命名 属性 的 值 ,其 他 文件 属性 包括 文件 名 、 文 件 拥 有 者 和 时 
间 标 记 等 。 

(2) NTFS 文件 系统 结构 

NTFS 文件 系统 结构 如 图 2. 28 所 示 。 


i 
SBoot 某 元 SMFT 某 元 茶 元 Ri i 
文件 文件 文件 文件 文件 文件 ”的 备份 


图 2.28 NTFS 文件 系统 结构 示意 图 


NTFS 文件 系统 和 FAT 文件 系统 一 样 ,第 一 个 甩 区 为 引导 怖 区 , 即 DBR 出 区 。 其 中 有 
NTFS 分 区 的 引导 程序 和 一 些 BPB 参数 ,在 第 一 个 忆 区 之 后 的 15 个 局 区 是 NTLDR 区 域 ， 
这 16 个 扇 区 共同 构成 $ Boot 文件 。 在 NTLDR 后 (但 不 一 定 是 物理 上 相连 的 ) 是 主 文件 表 
(Master File Table, MFT) 区 域 , 主 文件 表 由 文件 记录 (File Record,FR) 构 成 ,每 个 文件 记 
录 占 2 个 琐 区 ,用 来 记录 文件 在 人 硬盘 上 的 存储 位 置 ,NTFS 文件 系统 分 配给 主 文件 表 的 区 域 
大 约 占 据 了 硬盘 空间 的 12. 5% ,剩余 的 硬盘 空间 用 来 存放 其 他 元 文件 和 用 户 的 文件 。 

NTFS 文件 系统 中 文件 的 文件 名 、 扩展 名 、 建 立时 间 (Created Time)、 访 问 时 间 
(Accessed Time) ,修改 时 间 (Modified Time) ,文件 属性 .文件 大 小 、 文 件 在 硬盘 中 所 占用 的 
pig NTFS 中 也 称 为 属性 ,各 种 属性 被 放 在 文件 记录 中 

。 如 果 一 个 属性 太 大 ,文件 记录 中 存放 不 下 时 ,就 会 分 配 多 个 文件 记录 进行 存放 ; 
ti ey 可 能 这 个 文件 的 所 有 属性 ,甚至 包括 这 个 文件 的 数据 都 会 包含 在 一 个 
文件 记录 中 。 

NTFS 文件 系统 的 主 文件 表 中 还 记录 了 一 些 非 常 重要 的 系统 数据 ,这 些 数据 被 称 为 元 
数据 (Metadata) 文件 ,简称 为 “元 文件 ,其 中 包括 了 用 于 文件 定位 和 恢复 的 数据 结构 .引导 
程序 数据 及 整个 卷 的 分 配 位 图 等 信息 ,这 些 数据 被 NTFS 文件 系统 当 作 文件 进行 管理 ,这 
些 文件 的 文件 名 的 第 一 个 字符 都 是 “$”, 这 些 文件 是 隐藏 的 ,不 允许 用 户 访问 。 在 NTFS 
文件 系统 中 , 这样 的 文件 主要 有 16 个 ,包括 引 叶 文件 ($ Boot)、MFT 本 号 ($Mft)、MFT 
镜像 ($MftMirr) ,日 志文 件 ($ LogFile)、 卷 文件 ($Volume) ,属性 定义 表 ($ AttrDef), 根 
目录 ($ Root) .位 图 文件 ($ Bitmap) 、 坏 禾 文 件 ($ BadClus)、 安 全 文件 ($ Secure)、 大 写 文 
件 ($UpCase)、 扩 展 元 数据 文件 ($Extended metadata directory)、 重 解析 点 文件 
($ Extend\ $ Reparse) ,变更 日 志文 件 ($ Extend\$ UsnJrnl) ,配额 管理 文件 ($ Extend\ 
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$ Quota) 、 对象 ID 文件 ($$Extend\ $ObjId) 等 ,这 16 个 元 数据 文件 占据 着 MFT 的 前 16 
项 记录 ,在 这 16 项 之 后 就 是 用 户 建立 的 文件 和 文件 夹 的 记录 了 。 除 了 $Boot 文件 以 外 ,其 
他 元 文件 的 位 置 不 是 固定 的 ,有 时 $Mft 也 会 出 现在 $MftMirr 文件 之 后 ,虽然 NTFS 文件 
系统 最 后 一 个 月 区 是 DBR 的 备份 ,但 是 这 个 夯 区 并 不 属于 NTFS 文件 系统 。 

(3) NTFS 文件 记录 结构 

MFT 以 文件 记录 (FR) 来 实现 对 文件 的 管理 ,每 个 文件 记录 都 对 应 着 不 同 的 文件 ,每 个 
文件 记录 占用 2 个 届 区 ,如 果 一 个 文件 有 多 个 属性 或 是 分 散 成 很 多 碎片 ,就 可 能 需要 多 个 文 
件 记录 ,这 时 存放 其 文件 记录 位 置 的 第 一 个 记录 就 称 做 “基本 文件 记录 ”, 文 件 记 录 在 MFT 
中 物理 上 是 连续 的 ,从 0 开始 依次 按 顺 序 编导 。 文 件 记 录 分 为 两 部 分 : 一 部 分 是 文件 记录 
头 ,一 部 分 是 属性 列表 ,最 后 以 FFFFFFFFH 为 结束 标志 ,文件 记录 结构 如 图 2. 29 所 示 。 


| 


EE 


图 2.29 文件 记录 结构 


(4) 文件 记录 头 的 结构 

在 同一 个 操作 系统 中 ,文件 记录 头 的 长 度 和 偏 移 位 置 的 数据 含义 是 基本 不 变 的 ,属性 列 
会 随 数据 的 不 同 而 不 同 , 不 同 的 属性 列 的 含义 也 不 相同 。 如 图 2. 30 所 示 , 偏 移 量 00H 一 
37H 是 一 个 文件 记录 头 , 文 件 记 录 头 的 信息 含义 如 表 2. 1 所 示 。 


2AaAaA0co0O 46 49 4C 45 30 00 03 00 43 OC 80 00 00 00 00 00 EILEO...C.I..... 
2AAAUclI0 01 00 02 00 398 00 03 00 ES8 02 00 00 00 04 00 00 ....8...&....... 
2AAADC20 (00 00 00 00 00 00 00 00 04 00 00 00 2F 00 00 00 ............ < 
2AAAOC30 04 00 DO O01 00 00 00 00 10 00 00 00 60 00 00 00 ,PD.,..,...... ne 
2AAADCA4D0 oo oo 00 00 00 00 00 00 48 00 00 00 18 00 00 00 ........ TO 


图 2.30 文件 记录 头 
表 2.1 文件 记录 头 信 息 含义 


仿 移 含义 
00H 4 MFT 标志 ,总 为 字符 串 “FILE” 

04H 2 更 新 序列 号 (Update Sequence Number) 的 偏 移 位 置 
06H | ”2 ”| 更 新 序列 号 的 大 小 与 数组 ,包括 第 一 个 字 节 

08H 8 志文 件 序列 号 ($LogFile Sequence Number,LSN) 
10H 2 序列 号 (Sequence Number) 
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合 义 
硬 连 接 数 (Hard Link Count) , 即 有 多 少 目录 指向 该 文件 


第 一 个 属性 的 偏 移 地 址 

标志 (Flag) ,00H 表示 删除 文件 ,01H 表示 正常 文件 ,02H 表示 删除 目录 ,03H 表示 
正 篆 目录 

文件 记录 的 实际 长 度 

文件 记录 的 分 配 长 度 

基本 文件 记录 中 的 文件 索引 号 

下 一 属性 ID, 当 增加 新 的 属性 时 ,将 该 值 分 配给 新 属性 ,然后 该 值 增加 ,如 果 MFT 记 
录 重 新 使 用 , 则 将 它 置 为 0, 第 一 个 实例 总 是 0 

边界 ,Windows XP 中 为 偏 移 30H 处 

文件 记录 参考 号 ,Windows XP 中 使 用 ,Windows 2000 中 无 此 参数 

更 新 序列 号 

更 新 数组 


2.7 数 制 


与 实际 生活 中 习惯 使 用 的 十 进 制 不 同 ,计算机 使 用 的 是 只 包含 0 和 1 两 个 数值 的 二 进 
制 。 通 常情 况 下 ,计算 机 运算 和 存储 使 用 二 进 制 , 使 用 取证 工具 时 看 到 的 是 十 六 进 制 ,而 我 
们 最 习惯 使 用 的 则 是 十 进 制 。 这 就 涉及 数值 的 概念 和 转换 。 
2.7.1 数 制 


数 制 也 称 计数 制 , 是 用 一 组 固定 的 符号 和 统一 的 规则 来 表示 数值 的 方法 。 人 们 通常 采 
用 的 数 制 有 十 进 制 、 二 进 制 .八进制 和 十 六 进 制 等 。 无 论 哪 种 数 制 ,都 涉及 几 个 基本 概念 ， 


(1) 数码 

数 制 中 表示 基本 数值 大 小 的 不 同 数字 符号 。 例 如 ,十 进 制 有 10 个 数码 : 0、1、2、3、4、5、 
0 789 

(2) 基数 


一 种 数 制 允 许 使 用 数码 的 个 数 。 例 如 ,二 进 制 的 基数 为 2; 十 六 进 制 的 基数 为 16。 

(3) 位 权 

数 制 中 某 一 位 上 的 1 所 表示 数值 的 大 小 (所 处 位 置 的 价值 )。 例 如 ,十 进 制 的 137,1 的 
位 权 是 100,3 的 位 权 是 10,7 的 位 权 是 1。 二 进 制 中 的 1001 ,第 一 个 1 的 位 权 是 8, 第 一 个 0 
的 位 权 是 4, 第 二 个 0 的 位 权 是 2, 第 二 个 1 的 位 权 是 1。 

生活 中 的 篆 用 的 十 进 制 在 计算 机 中 并 不 适用 ,而 二 进 制 和 十 六 进 制 是 计算 机 中 应 用 最 
为 广泛 的 进 制 。 
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(1) 十 进 制 

最 常见 的 进位 计数 制 。 在 十 进 制 中 , 数 用 0,1,2,3,4,5,6,7,8,9 这 十 个 符号 来 描述 。 
计数 规则 是 着 十 进 一 。 十 进 制 使 用 后 级 DD 表示 ,但 一 般 情 况 下 会 省 略 。 

(2) 二 进 制 

在 计算 机 中 ,一 切 信 息 的 存储 、 人 处 理 与 传输 全 部 采用 二 进 制 的 形式 。 在 二 进 制 中 , 数 用 
0 和 1 两 个 符号 来 描述 。 计 数 规则 是 着 二 进 一 。 对 计算 机 来 说 ,能 识别 的 只 有 “0” 和 “1”。 
每 个 0 或 者 1 称 为 一 个 “位 (bit)”, 每 8 个 “位 ”组 成 一 个 “ 字 节 (byte)”。 二 进 制 使 用 后 级 B 
表示 ,如 101B。 

由 于 二 进 制 写 起 来 经 常 很 长 , 且 不 方便 记忆 ,因此 在 实际 应 用 中 引入 了 八进制 和 十 六 进 
制 。 进 制 越 大 , 数 的 表达 长 度 就 越 短 。 另 外 “8” 和 “16” 分 别 是 “2 的 3 次 方 ”" 和 “2 的 4 次 方 ”， 
这 就 使 得 三 种 进 制 之 间 的 转换 非常 直接 。 八 进 制 和 十 六 进 制 缩短 了 二 进 制 数 ,同时 又 保持 
了 二 进 制 数 的 表达 特点 ,其 中 又 以 十 六 进 制 更 为 肖 见 。 

(3) 八进制 

八进制 ,一 种 以 8 为 基数 的 计数 法 ,共有 0,1,2,3,4,5,6,7 八 个 数码 , 首 八 进 一 。 八 进 
制 的 数 和 二 进 制 数 可 以 按 位 对 应 (八进制 一 位 对 应 二 进 制 三 位 ), 因 此 常 应 用 在 计算 机 语言 
中 。 巾 于 十 六 进 制 一 位 可 以 对 应 四 位 二 进 制 数 宇 ,用 十 六 进 制 来 表示 二 进 制 较为 方便 。 因 
此 ,八进制 的 应 用 不 如 十 六 进 制 。 

(4) 十 六 进 制 

人 们 在 计算 机 指令 代码 和 数据 的 书写 中 经 党 使 用 的 数 制 。 在 十 六 进 制 中 , 数 用 0,1,2， 
3,4,5,6,7,8,9 以 及 A,B,C,D,E,F( 或 a,b,c,d,e,f)16 个 符号 来 描述 ,A 代表 10,B 代表 
11,C 代表 12,D 代表 13,E 代表 14,F 代表 15。 计 数 规则 是 着 十 六 进 一 。 十 六 进 制 使 用 后 
级 H 表示 ,如 86H 表示 这 是 一 个 十 六 进 制 数 ,也 可 以 表示 成 0x86 。 


2.7.2 数 制 间 的 转换 


在 实际 应 用 中 ,仅仅 了 解数 制 是 不 够 的 ,我们 还 需要 和 擎 握 它 们 之 间 的 相互 转换 。 由 于 大 
多 数 取 证 工具 都 是 以 十 六 进 制 来 表示 二 进 制 的 ,二 进 制 和 十 六 进 制 的 互相 转换 比较 重要 。 

一 进 制 转 十 六 进 制 的 权 值 ,并且 是 从 高 位 往 低 位 记 : 8、4、2、1。 二 进 制 数 要 转换 为 十 六 
进 制 ,可 以 以 4 位 一 段 ,分 别 利用 8421 算法 转换 为 十 六 进 制 。 

例如 : 二 进 制 数 1010 1001 1111 0101 1011 1001, 每 4 位 分 别 利用 8421 算法 进行 转换 
后 ,对 应 的 十 六 进 制 数 就 是 A9 F5 B9 。 


2.8 数据 的 存储 单位 


数据 在 计算 机 中 的 存储 ,部 是 以 二 进 制 为 基础 的 。 存 人 笃 单 位 按照 不 同 要 求 ,具有 不 同 
格式 : 
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二 进 制 位 (bit): 又 称 为 比特 ,是 计算 机 中 存储 的 最 小 信息 单位 ,只 有 “0” 和 “1” 两 种 状 
态 。 计 算 机 中 最 直接 、 最 基本 的 操作 就 是 对 二 进 制 位 的 操作 。 

字 市 (Byte): 一 个 字 刷 是 8 位 二 进 制 , 即 1Bvte 王 8bit。 宇 市 是 计算 机 处 理 数据 的 基本 
单位 , 即 以 字 节 为 单位 解释 信息 。 通 常 ,一 个 ASCII 码 占 1 个 字 节 ; 一 个 汉字 国标 码 占 2 个 
字 节 ; 整数 占 2 个 字 市 ; 实数 , 即 市 有 小 数 点 的 数 , 用 4 个 宇 节 组 成 浮 点 形式 等 。 

字 (Cword) : 是 计算 机 内 部 进行 信息 处 理 的 基本 单位 ,是 计算 机 可 以 同时 处 理 的 二 进 制 
数 的 位 数 , 即 一 组 二 进 制 数码 作为 一 个 整体 来 参加 运算 或 处 理 的 单位 。 一 个 宇通 常 由 一 个 
或 多 个 字 访 构成 ,用 来 存放 一 条 指令 或 一 个 数据 。 

字 长 : 是 一 个 字 包 含 的 二 进 制 位 数 , 字 长 是 衡量 计算 机 性 能 的 一 个 重要 指标 , 字 长 越 
长 ,一 次 处 理 的 数字 位 数 越 大 ,处 理 速 度 就 越 快 。 字 长 一 般 是 字 节 的 整数 倍 , 常 见 的 有 8 位 、 
16 位 、32 位 、64 位 。32 位 的 系统 存放 数据 的 形式 是 对 每 个 数据 用 32 个 二 进 制 位 来 存放 ,64 
位 的 意思 就 是 用 64 个 二 进 制 位 来 存放 。 位 数 越 多 每 次 处 理 存储 的 数据 也 就 多 。 

存储 单元 ; 表示 一 个 数据 的 总 长 度 称 为 计算 机 的 存储 单元 。 在 计算 机 中 , 当 一 个 数据 
作为 一 个 整体 存 人 或 取出 时 ,这 个 数据 存放 在 一 个 或 几 个 字 节 中 组 成 一 个 存储 单元 。 存 储 
单元 的 特点 是 ,只 有 往 存 储 单元 送 新 数据 时 ,该 存储 单元 的 内 容 用 新 值 代替 旧 值 ,否则 永远 
保持 原 有 数据 。 

地 址 ; 计算 机 中 每 个 存储 单元 都 有 一 个 编号 , 称 为 地 址 ,是 以 字 节 为 单位 进行 的 。 地 址 
号 与 存储 单元 是 一 一 对 应 的 ,CPU 通过 地 址 对 存储 单元 中 的 数据 进行 访问 和 操作 。 地 址 也 
是 用 二 进 制 编码 表示 ,为 便于 识别 通 稍 有 米 用 十 六 进 制 。 


2.9 数据 获取 


2.9.1 数据 获取 


电子 数据 取证 过 程 对 数据 有 “ 原 妈 性” 要求。 在 取证 过 程 中 , 避 倪 对 数据 进行 卫 接 操作 。 
对 于 存储 介质 进行 数据 获取 ,形成 镜像 是 最 佳 方案 。 在 国内 外 的 取证 规则 和 指南 中 ,数据 获 
取 是 进行 电子 数据 取证 必 不 可 少 的 一 个 环 方 。 相 对 于 普通 的 拷贝 ,数据 获取 有 更 为 严格 的 
要 求 ,一 般 可 分 为 错 像 数据 获取 i 逻辑 数据 获取 、 匈 失 性 数据 获取 等 。 其 中 ， ee 
多 和 钼 数据 获取 部 属于 静态 的 数据 获取 ,多 失 性 数据 获取 属于 动态 的 数据 获取 ,在 第 7 草 电 
数据 戎 验 和 检查 中 冰 述 。 

镜像 (Clone) ,又 叫 克 隆 , 指 的 途 比 特 位 进行 复制 ,以 此 产生 的 镜像 数据 与 原始 数据 完全 
一 尾 。 通 过 “镜像 技术 制作 多 个 包含 犯罪 证 据 便 盘 副 本 ,可 以 有 效 避 人 免 破 坏 犯 罪 现场 的 原 
始 证 据 信息 。 镜 像 获取 通常 采用 特定 的 取证 设备 或 工具 ,将 原始 介质 中 的 全 部 数据 位 对 位 
地 进行 复制 ,并 生成 相应 的 证 据 文 件 格式 。 镜 像 的 数据 格式 主要 有 : 原始 数据 格式 ( 凋 称 为 
DD 格式 )\EnCase 证 据 文 件 (E01 或 Ex01) 及 AFF 证 据 文 件 等 。 
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以 使 用 最 为 广泛 的 EnCase 证 据 文 件 格式 为 例 ,EnCase 证 据 文 件 是 全 球 知 名 的 电子 数 
据 综 合 取 证 软件 GuidanceSoftware EnCase 的 私有 证 据 文 件 格 式 , 最 早起 源 于 EWF(Expert 
Witness Format) 证 据 文 件 格 式 , 后 来 经 过 GuidanceSoftware 的 进一步 规范 ,最 终 形 成 了 私 
有 格式 。 它 同样 是 存储 介质 的 逐 字 节 的 精确 复制 出 来 的 镜像 ,然而 与 原始 数据 镜像 不 同 的 
是 ,EnCase 证 据 文件 文 持 数据 的 压缩 ,可 以 大 厦 省 存储 证 据 文 件 需 要 的 空间 ,同时 保存 有 
取证 的 相关 信息 。 目 前 EnCase 证 据 文 件 有 2 个 版 本 : E01 和 Ex01 格式 。 

E01 文件 包含 三 个 组 成 部 分 : 文件 头 、 校 验 什 以 及 数据 块 。 这 三 部 分 将 用 户 输 入 与 册 
查 有 关 的 信息 和 证 据 文 件 内 部 的 其 他 信息 与 硬盘 的 内 容 一 起 存档 ,能 够 完整 地 描述 原始 证 
据 , 并 且 可 以 将 证 据 文 件 重 新 恢复 到 硬盘 中 。E01 的 文件 结构 如 图 2. 31 所 示 。 


Data Block 


图 2.31 EnCase 证 据 文 件 格 式 (E01) 


Acqulsition 
Hash(MDS) 


E01 文件 的 校 验 包括 CRC 校 验 ,以 及 在 文件 尾部 的 MD5 校 验 。 这 就 使 得 在 数据 获取 
后 青 算 改 几乎 是 不 可 能 的 。 不 同 内 容 的 两 个 数据 块 具 有 相同 CRC 值 的 几率 大 约 为 40 亿 分 
之 一 ,因此 电子 数据 的 可 信 性 得 到 保证 。 


2.9.2 数字 校 验 


“真实 性 ”和 “有 效 性 ”是 电子 数据 作为 证 据 使 用 的 核心 和 灵魂 。 对 电子 数据 的 有 效 性 的 
验证 是 取证 工作 的 不 可 忽视 的 工作 之 一 。 在 电子 数据 取证 过 程 中 ,为 了 保证 通常 使 用 数字 
校 验 (Checksum) 技 术 来 确保 电子 数据 的 “真实 性 ”和 “有 效 性 ”。MD5、SHA、CRC 是 目前 应 
用 最 广泛 的 哈 硕 算 法 。 

数字 校 验 在 电子 数据 取证 中 主要 有 两 方面 的 应 用 。 

1. 数据 的 固定 

哈 硕 是 对 内 容 的 一 种 单 癌 算法 ,一旦 内 容 被 贷 改 ,其 哈 硕 值 必 然 改 变 。 通 过 计算 哈 硕 值 
来 保证 数据 在 固定 后 不 会 被 贷 改 。 

2. 哈 希 比 对 

系统 文件 或 重要 文件 一 般 内 容 固 定 , 通 过 计算 系统 文件 或 重要 文件 的 蛤 希 值 ,形成 一 个 
哈 希 集 。 一 旦 文件 被 算 改 ,将 被 算 改 的 文件 与 原文 件 的 HASH 值 进行 对 比 ,如 果 不 符 , 就 证 
明文 件 被 破解 或 者 被 加 入 非法 代码 。 这 一 点 在 黑客 案件 和 知识 产权 案件 中 最 为 有 用 。 

数据 获取 是 电子 数据 取证 过 程 中 最 为 重要 的 环节 之 一 ,没有 做 好 数据 获取 ,可 能 导致 前 
功 尽 弃 ,无 法 获得 有 效 的 电子 数据 ,或 者 取证 分 析 的 结果 无 法 被 采信 。 数 字 校 验 是 验证 数据 
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获取 精确 性 的 重要 技术 , 它 是 证 据 保 全 过 程 中 重要 的 一 个 环节 。 
2.10 文件 过 滤 


文件 过 泪 是 应 用 茶 种 鼻 法 ,根据 文件 的 属性 ,过 滤 出 条 件 设 定 的 文件 。 文 件 过 滤 基 于 文 
件 的 属性 ,而 非 文 件 内 容 来 实现 的 。 文 件 部 有 特定 的 文件 属性 ,文件 属性 包括 文件 第 见 的 属 
性 和 扩展 出 来 的 属性 ,包括 文件 类 型 \ 长 度 , 位 置 , 存 储 类 别 、 建 立时 间 等 。 文 件 属性 有 具体 

。 文件 名 、 扩 展 名 、 缩 略 名 、 摘 要 ; 
访问 时 间 (Accessed Time) ,修改 时 间 (Modified Time) ,创建 时 间 (Created Timey) ; 

。 逻辑 大 小 .物理 大 小 : 

。 路 径 .原始 路 径 ; 

。 了 哈 硕 ; 

。 文件 签名 。 

营 见 取证 工具 中 ,都 提供 了 基于 文件 名 称 、 文 件 内 容 、 文 件 类 型 .大 小 范围 .时间 范围 . 文 
件 哈 硕 等 属性 的 文件 过 涯 ,通过 文件 过 滤 我 们 可 以 快速 地 绑 小 搜索 范围 ,将 注意 力 集中 在 相 
关 的 数据 ,有 将 缩短 取证 时 间 。 

1. 基于 文件 扩展 名 的 过 滤 

文件 扩展 名 是 在 文件 名 的 最 后 一 个 圆 点 “. "后面 的 几 个 字符 。 扩 展 名 展现 的 是 文件 的 数 
据 类 型 。 如 果 一 个 文件 的 扩展 名 为 . TXT, 那 么 文件 的 数据 类 型 应 该 是 文本 文件 (Text ) 详 见 
表 2. 2。 许多 程序 是 依据 文件 的 扩展 名 确定 数据 类 型 ,例如 Windows 的 应 用 程序 都 是 通过 文 
件 的 扩展 名 与 文件 类 型 关联 。 因 此 利用 文件 扩展 名 进行 过 滤 是 最 基本 的 文件 过 滤 。 

表 2.2 文件 扩展 名 略 表 
文件 类 型 文件 扩展 名 
html; htm; php:; 


php3; php4; 


HTML/ XML 
phtml; shtml; 
shtml; xml; xsd; msc 
JPEG jpg; jpeg 
PNG png 
GIF gi 
TIFF tif ; tift 


故意 更改 文件 扩展 名 以 便 隐 藏 文件 的 真正 类 型 目前 较为 普 人 这。 一 个 JPEG 图 片 文件 如 
朱 币 修改 成 不 正确 的 扩展 名 如 .DLL ,那么 大 部 分 的 程序 者 无 法 识别 它 是 一 个 图 瞩 , 这 时 候 
击 要 利用 文件 签名 扩 术 来 识别 文件 的 贞 实 类 型 。 
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2. 基于 关键 词 和 通配符 的 文件 过 滤 

针对 文件 属性 ,可 以 通过 关键 词 针 对 特定 的 文件 名 称 ( 非 内 容 ) 进 行文 件 过 滤 ,也 可 以 使 
用 通配符 CGREP 语法 ) 过 滤 。 例 如 ,过 滤 名 为 “潍坊 网 安 . doc” 的 Word 文档 ,可 以 首先 使 用 
通配符 “x*. doc "过 沽 出 所 有 的 Word 文档 ,然后 找到 名 为 “潍坊 网 安 ” 的 文件 ; 也 可 以 直接 
利用 “潍坊 网 安 ” 进 行文 件 名 过 滤 ,查找 后 级 为 “doc” 的 Word 文档 。 

文件 过 滤 的 特点 为 速度 快 , 准 确 率 高 。 对 关键 词 的 准确 设置 和 通配符 的 正确 使 用 ,可 以 
大 大 提高 数据 命中 的 准确 计 和 效率 。 但 是 ,单一 的 文件 过 滤 功 能 还 是 非常 有 限 的 , 遇 到 比较 
复杂 的 过 滤 条 件 时 就 显得 束手无策 了 。 所 以 ,很 多 取证 工具 在 文件 过 滤 中 还 可 以 使 用 条 件 
表达 式 ( 例 如 Encase 的 Condition) ,便于 快速 地 实现 复杂 的 文件 过 滤 功 能 。 

3. 基于 喻 希 的 文件 过 小 

哈 希 值 是 由 文件 的 内 容 计 算 所 得 ,与 文件 名 称 无 天 。 喻 希 值 类 似 于 文件 的 “数字 指纹 ”。 
通过 计算 哈 硕 值 后 进行 哈 硕 值 的 过 滤 ,即使 文件 名 称 改 变 , 取 证 工具 也 能 够 检测 出 与 目标 哈 
布 值 相同 的 文件 。 

可 以 将 已 知 文件 (如 篆 邦 软件 Office、 操 作 系 统 文 件 .恶意 程序 或 图 像 文件 等 ) 形 成 哈 布 
值 的 集合 ,构建 成 哈 硕 库 , 可 以 检测 任意 证 据 文 件 中 是 否 包 含 了 具有 与 哈 硕 库 中 相同 的 哈 硕 
值 的 文件 ,在 电子 数据 取证 中 经 贡 用 于 快速 上 友 现 或 排除 此 类 文件 ,从 而 实现 局 将 文件 过 沽 。 
哈 布 值 可 用 于 识别 那些 对 取证 没有 意义 的 文件 ,如 操作 系统 文件 和 筑 用 的 应 用 程序 文件 。 
哈 硕 值 也 可 以 用 于 检测 对 取证 有 重要 意义 的 特定 文件 ,如 色情 图 片 涉 恕 首钢 频 文件 或 用 于 
非法 目的 的 特定 应 用 程序 等 。 


2.11 数据 搜索 


相对 于 文件 过 滤 依 赖 的 是 文件 属性 信息 ,数据 搜索 则 是 针对 文件 内 容 。 数 据 搜索 的 成 
功率 ,取决 于 宇 节 有 硕 订 、 纺 码 方式 和 搜索 方法 。 搜 索 是 电子 数据 取证 必要 环节 。 电 子 数据 取 
证 人 员 要 了 解数 据 搜 索 的 原理 ,并 会 根据 应 用 编写 关键 词 ,以 完成 基本 的 数据 搜索 工作 。 


2.11.1 字 节 顺序 


字 广 顺 厅 问 题 的 实质 是 计算 机 系统 对 于 多 字 方 的 表现 方式 ,在 电子 数据 取证 中 ,数据 可 
能 会 被 保存 在 内 存 中 、 便 盘 上 ,还 有 可 能 正在 进行 网 络 传输 。 在 获得 这 些 信 息 后 ,有 必要 知 
道 它 们 的 字 节 顺序 后 才能 对 其 进行 解码 。 不 位 的 是 ,计算 机 系统 并 没有 采用 一 个 统一 的 编 
码 方式 。 当 计算 机 系统 存储 和 传输 数据 时 ,不 同 的 字 节 顺序 编码 方式 对 于 数据 重组 将 是 一 
个 问题 。 例 如 ,截获 网 络 传输 的 信息 ,可 能 只 能 截获 中 间 一 部 分 信息 ,这 时 候 , 就 有 必要 知道 
字 节 顺序 ,以 进行 解码 和 搜索 。 

一 个 基本 存储 单元 可 以 保存 一 个 字 广 ,每 个 存储 单元 对 应 一 个 地 址 。 对 于 大 于 十 进 制 
255( 十 六 进 制 0xFF) 的 整数 ,需要 多 个 存储 单元 。 例 如 “ 汉 ” 字 的 Unicode 编码 是 0x6C49， 
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需要 两 个 字 节 ,不 同 的 计算 机 系统 使 用 不 同 的 方法 保存 这 两 个 字 节 。 在 我 们 篆 用 的 PC 机 
中 ,低位 的 字 节 0x49 保存 在 低地 址 的 存储 单元 ,高 位 的 字 节 0x6C 保存 在 高 地 址 的 存储 单 
元 ; 而 在 Sun 工作 站 中 ,情况 恰恰 相反 ,0x49 位 于 高 地 址 的 存储 单元 ,0x6C 位 于 低地 址 的 
存储 单元 。 前 一 种 就 被 称 为 小 端 (Little-Endian) ,后 一 种 就 是 大 端 (Big-Endian)。 大 端 和 小 
端 是 CPU 处 理 多 字 节 数 的 不 同方 式 。 那 么 写 到 人 硬盘 上 时 ,究竟 是 将 6C 写 在 前 面 , 还 是 将 
49 写 在 前 面 ? 如 果 将 0x49 写 在 前 面 ,就 是 小 端 ,将 0x6C 写 在 前 面 , 就 是 大 病 。 如 何 记 住 这 
两 种 存储 模式 ? 其实 很 简单 ,首先 记 住 我 们 所 说 的 存储 单元 的 地 址 总 是 由 低 到 高 排列 。 对 
于 多 字 方 的 数值 ,如 果 先 见 到 的 是 低位 的 字 市 , 则 系统 就 是 Little Endian 的 ,Little 就 是 
“小 , 少 ” 的 意思 ,也 就 对 应 “ 低 ”。 相 反 就 是 Big Endian, 这 里 Big“ 大 ”对 应 “高 ”。 字 节 顺 序 
的 规律 如 表 2. 3 所 示 。 
表 2.3 大 端 和 小 端 字 节 排序 


字 节 排序 售 义 
大 并 一 个 Word 中 的 高 位 的 Byte 放 在 内 存 中 这 个 Word 区 域 的 低地 址 处 
小 站 一 个 Word 中 的 低位 的 Byte 放 在 内 存 中 这 个 Word 区 域 的 低地 址 处 


很 多 情况 下 ,我 们 需要 对 数据 进行 分 析 , 但 是 由 于 字 贡 有 顺序 的 存在 ,会 导致 同一 效 据 在 
不 同 的 系统 中 保存 的 方式 不 同 。 例 如 在 Windows 系统 和 Mac OS 系统 分 别 保存 一 个 txt 文 
件 ,二 者 在 十 六 进 制 编辑 硕 中 的 表现 方式 截然 不 同 。 因 为 Windows 是 默认 以 小 端 字 市 顺序 
存储 的 ,而 Mac OS 默认 是 以 大 病 字 下 有 顺序 存储 的 。 

字 市 有 顺序 是 隐蔽 在 应 用 程序 之 下 的 ,由 于 应 用 程序 在 谈 取 数据 之 后 会 将 字 世 有 顺序 转变 
为 指定 的 形式 展现 给 用 户 , 因 此 用 户 并 不 知道 具体 的 字 节 有 顺序 , 字 节 顺序 对 于 使 用 者 是 透明 
的 。 但 是 对 于 电子 数据 取证 领域 ,了 解 字 节 有 顺序 是 至 关 重 要 的 。 电 子 数据 取证 所 使 用 的 主 
要 技术 ,例如 搜索 破解 .恢复 部 涉及 字 廊 顺 厅 。 


2.11.2 编码 与 解码 


相对 于 难 异 的 二 进 制 代码 ,编码 可 以 通过 统一 的 定义 数据 格式 ,来 加 快 数据 执行 效率 。 
同时 编码 也 可 以 隐藏 数据 结构 ,有 利于 保护 版 权 。 电 子 数据 取证 实际 上 是 一 个 “ 黑 盒 ”的 探 
索 过 程 ,很 多 时 候 , 取 证 就 是 分 析 数 据 采 取 什 么 方式 的 编码 ,以 及 使 用 正确 解码 方式 以 使 数 
据 可 视 化 ,因此 了 解 编码 原理 和 解码 方法 是 电子 数据 取证 的 至 关 重 要 的 基础 。 

1. 编码 与 解码 的 概念 

如 同一 个 大 厦 的 建设 从 一 砖 一 瓦 开 始 ,编码 体系 也 是 由 最 基本 的 概念 建立 起 来 。 从 最 
小 的 单位 一 一 “字符 ”到 整个 编码 体系 ,每 一 部 分 都 起 到 重要 作用 ,也 有 看 确定 的 概念 。 在 大 
多 数 帝 料 中 ,字符 集 和 编码 过 程 经 营 被 混 酒 ,但 是 实际 上 二 者 是 不 同 的 概念 。 

(1) 字符 (Character) 

字符 是 文 宇 与 符号 的 总 称 , 包 括 文 字 图形 符号 、. 数 学 符号 等 。 一 个 字符 是 用 二 进 制 纺 
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码 表示 的 ,但 具体 是 什么 字符 ,是 根据 字符 集 诀 定 的 。 

(2) 字符 集 (Charset) 

字符 集 是 一 组 抽象 字符 进行 规律 排序 的 集合 ,实际 上 就 是 个 映射 表 。 字 符 集 和 常常 和 一 
种 具体 的 语言 文字 对 应 起 来 ,该 文字 中 的 所 有 字符 或 者 大 部 分 第 用 字符 就 构成 了 该 文字 的 
字符 集 ,如 英文 字符 集 。 一 组 有 共同 特征 的 字符 也 可 以 组 成 字符 集 , 如 繁体 汉字 字符 集 .日 
文 汉 字 字 符 集 等 。 

计算 机 科学 引用 了 传统 定义 上 用 于 教育 用 的 生字 表 .通信 用 的 电报 码 表 ( 莫 尔 斯 电码 ) 
等 领域 的 字符 集 的 概念 。 在 计算 机 科学 中 ,字符 集 特 指 ASCII、Unicode、GB2312、GBK、 
BIG5 等 用 于 计算 机 编码 的 字符 集合 。 

(3) 字符 编码 (Encoding) 

字符 编码 是 计算 机 处 理 各 种 字符 时 ,将 字符 和 二 进 制 内 码 对 应 起 来 而 形成 的 映射 集合 ， 
它 是 个 名 词 。 需 要 注意 的 是 ,映射 的 动作 是 动词 的 编码 ,而 映射 出 的 编码 是 二 进 制 的 。 制 定 
编码 的 前 提 是 确定 字符 集 , 要 将 字符 集 内 的 字符 排序 ,然后 和 二 进 制 数 字 对 应 起 来 。 根 据 字 
符 集 内 字符 的 多 少 , 确 定 用 几 个 字 节 来 编码 。 如 果 编 码 已 经 限定 了 一 个 明确 的 字符 集合 ,就 
叫做 被 编码 过 的 字符 集 (Coded Character Set ) 。 

2. 第 用 编码 

字符 必须 编码 后 才能 被 计算 机 处 理 。 计 算 机 使 用 的 缺 省 编码 方式 称 为 计算 机 的 内 码 。 
早期 的 计算 机 使 用 7 位 的 ASCII 编码 作为 系统 内 码 ,ASCII 字符 编码 标准 主要 是 为 英语 语 
系 国 家 制定 的 ,无 法 处 理 亚 洲 国 家 的 文字 体系 。 亚 洲 各 国 根 据 本 国 实 际 情况 设计 了 相应 的 
字符 编码 标准 ,在 ANSI 码 的 基础 上 设计 了 符合 本 国 实 际 情 况 的 字符 编码 集 , 以 能 够 处 理 大 
数量 的 象形 字符 ,这 些 编码 使 用 单字 节 来 表示 ANSI 的 英文 字符 ( 即 兼容 ANSI 码 ) ,使 用 双 
字 节 来 表示 汉字 字符 。 例 如 用 于 人 简体 中 文 的 GB2312 和 用 于 繁体 中 文 的 BIG5 。 

(1) ASCII 字符 集 

ASCIICAmerican Standard Code for Information Interchange, 美 国信 息 互 换 标 准 代 码 ) 
是 基于 拉丁 字母 的 字符 编码 ,简称 为 * 美 标 "?。 它 主要 用 于 显示 现代 英语 和 其 他 西欧 语言 。 
ASCII 是 现今 最 通用 的 单字 市 编码 系统 ,大 部 分 电脑 孝文 持 ASCII 编 公 ,等 问 于 国际 标准 
ISO 646。ASCII 字符 编码 标准 规定 了 用 从 0 一 127 的 128 个 数字 来 代表 信息 的 规范 编码 ， 
其 中 包括 33 个 控制 字符 (0x00 一 0x20 和 0x7F 共 33 个 ). 一 个 空格 和 94 个 可 显示 字符 。 
ASCII 字符 集 包 括 喘 文字 母 . 阿拉 们 数字 和 标点 符号 等 字符 。ASCII 但 是 7 位 编码, 只 文 持 
ASCII 码 的 系统 会 忽略 每 个 字 节 的 最 高 位 ,只 认为 低 7 位 是 有 效 位 。 

(2) Unicode、UCS 和 UTF 

国际 标准 化 组 织 (ISO) 开 发 了 ISO 10646 项 目 ,Unicode 协会 由 开发 了 Unicode 项 目 。 
双方 的 工作 殊途同归 ,在 合并 了 双方 的 工作 成 果 后 ,创建 了 单一 的 字符 编码 标准 ; 只 不 过 名 


http:/ /www. unicode. org 
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称 不 同 ,UNICODE 协会 称 为 Unicode 编码 , Unicode 的 学 名 是 Universal Multiple-Octet 
Coded Character Set ,ISO 则 称 为 UCS(Unicode Character Set) 编 人 妈 (ISO 10646 一 1 的 一 部 
分 ) 。 目 前 ,Unicode 得 到 广泛 应 用 。 

Unicode 只 是 规定 如 何 编 码 , 并 没有 规定 如 何 传 输 \ 保 存 这 个 编码 ,例如 “ 爱 ” 字 的 UCS 
编码 是 0x7231, 可 以 用 4 个 ASCII 字符 来 传输 保存 这 个 编码 ,也 可 以 用 UTF (UCS 
Transformation Format) 编 码 传 输 ,UTF-8、UTF-7、UTF-16 都 是 被 广泛 接受 的 方案 。 其 中 
UTF-8 编码 ,“ 爱 ”是 3 个 连续 的 字 节 E7 88 Bl 来 表示 ,关键 在 于 通信 双方 都 要 认可 。UTF-8 
的 一 个 特别 的 好 处 是 它 与 ISO-8859-1 完全 兼容 。 

(3) URL 编码 

URL 编码 是 一 种 浏览 套用 来 打包 表单 输入 的 格式 。 字 符 的 URL 编码 是 将 字符 转换 
到 8 位 十 六 进 制 并 在 前 面 加 上 “%” 前 级 。 浏 览 妖 可 能 会 用 两 种 编码 方式 发 送 URL 到 服务 
大, 分 别 是 UTF-8 和 ANSI( 当 前 系统 语言 设置 ,在 Windows 系统 中 可 以 理解 为 当前 代码 
页 ) 。 例 如 ,ASCII 字符 集中 空格 是 十 六 进 制 的 20, 因 此 URL 编码 是 %20。 


2.11.3 关键 词 搜索 


关键 词 搜 索 就 是 通过 字符 串 或 者 特定 的 表达 式 对 电子 数据 进行 查找 、 匹 配 以 定位 特定 
数据 项 的 过 程 , 是 电子 数据 取证 的 常用 技术 之 一 。 关 键 词 可 以 是 正则 表达 式 、 可 以 是 大 小 写 
敏感 或 者 不 敏感 的 ,或 者 具有 其 他 的 一 些 选 项 。 为 了 加 快 关 键 词 搜索 的 效率 ,取证 工具 往往 
会 利用 索引 技术 对 数据 进行 预 处 理 , 这 样 在 搜索 的 时 候 可 以 即时 返回 结果 。 

理论 上 来 说 ,如 打 所 有 数据 都 是 可 索引 /可 搜索 的 话 ,搜索 就 是 最 好 的 取证 工具 ,我 们 必 
须 能 够 理解 哪些 数据 能 够 进行 定位 ,哪些 数据 无 法 通过 搜索 进行 处 理 。 此 外 ,每 一 种 取证 工 
具 都 实现 了 关键 词 搜 索 的 功能 ,因此 我 们 有 必要 了 解 其 原理 和 应 用 范围 。 

1. 字符 串 匹 配 

如 果 无 差别 地 看 待 每 一 个 文件 , 则 可 以 将 它们 看 作 一 个 个 字符 串 ,如 果 将 整个 便 盘 视 为 
一 个 文件 , 则 硬盘 就 是 一 个 包含 所 有 数据 的 巨大 的 字符 串 。 简 单 的 关键 词 搜索 就 是 进行 字 
符 串 匹配 的 过 程 。 首 先 定义 好 我 们 需要 查找 的 字符 串 ,随后 程序 使 用 特定 的 算法 对 硬盘 中 
的 内 容 进 行 字符 串 匹 配 ,一 旦 找到 一 个 匹配 的 内 容 , 则 在 搜索 结果 中 进行 展示 。 

2. 正则 表达 式 了 (GREP) 

有 些 内 容 在 我 们 搜索 之 前 是 不 知道 具体 内 容 的 ,例如 要 处 理 的 是 一 个 和 邮件 诈骗 有 关 
的 案子 ,分析 的 是 诈骗 嫌疑 人 的 电脑 。 此 时 , 找 出 对 象 电 脑 中 有 哪些 受害 者 邮箱 或 者 银行 账 
号 就 比较 有 意义 。 在 不 确定 具体 邮箱 和 银行 账号 的 情况 下 ,就 可 以 使 用 正则 表达 式 搜索 。 
正则 表达 式 使 用 单个 字符 串 来 描述 、 匹 配 一 系列 符合 某 个 句法 规则 的 字符 串 ,在 类 似 Perl、 
Python 的 脚本 引擎 中 都 有 内 置 的 正则 表达 式 引 擎 。 


中 http;//baike. baidu. com/ view/94238. htm, 百度 百科 “正则 表达 式 ? 词 条 。 
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正则 表达 式 的 使 用 有 一 定 的 语法 ,不 同 的 取证 分 析 软 件 使 用 的 语法 可 能 会 有 细微 的 区 
别 。Encase 使 用 的 是 定制 的 语法 , 盘 石 的 SA 使 用 的 是 与 Perl 语言 中 一 致 的 正则 语法 ,而 
开源 取证 工具 Autopsy 使 用 的 是 Java 的 匹配 语法 。 虽 然 每 一 种 正则 表达 式 的 语法 会 有 所 
不 同 , 但 是 其 本 质 都 是 一 样 的 ,所 以 具有 一 定 的 相似 性 。Encase 定制 的 语法 相对 比较 简单 ， 
表 2.4 是 以 Encase 的 语法 为 例 进行 说 明 。 


表 2.4 表 Encase 软件 的 正则 表达 式 文法 


正则 文法 匹配 内 容 
\wFFFF Unicode 字符 

\xFF 十 六 进 制 学 符 

, 任意 字符 

# 任意 数字 [L0 一 9j 

? 重复 0 或 1 次 

n 十 重复 至 少 1 次 

[A 一 Z] A 到 Z 区 间 中 的 字符 

x 重复 0 或 任意 次 

[v7 | X、Y.Z 中 的 1 个 字符 

YT 非 X.Y.Z 的 一 个 字符 

\L 转 义 符 ,匹配 字符 “[” 

(ab) 对 ab 进行 分 组 ,以 使 用 “?”“ 十 ”、“x*”“|” 操 作 
{m,n} 重复 m 到 n 次 

alb a 或 b 


根据 上 面 的 文法 ,一些 常用 的 正则 表达 式 如 下 : 

。 邮箱 : [a-z0-9\ 一 \_\. \x2Dj] 十 @[a-z0-9\_\x2D] 十 \. [a-z0-9\ \x2D\. ] 十 

。 JIP 地址: [^ 间 \. |] 提亲 ? 井 ? \. 井 井 ? 提 ? \. 提 提 ? 井 ? \. 井 井 ? 井 ?\[^##\.] 

。 手机 号 码 : [^ 井 ]1L34568]# 井 井 井 井 井 井 井 井 [ 井 ] 

。 银联 卡号 : [^ 提 ]6 提 打 提亲 [-, | 并 提 提亲 [-,] 林 提亲 捍 [-,] 林 打 提 并 [-,] 间 提亲 [人 ^ 提 | 

。 十 六 位 Visa 卡号 : [4j][ 间 活埋 活 间 ][^ 提 ?|[ 提 ](4,4)[^ 提 ?|[ 间 ]{4,4}[^# ]? 
[# ]{4,4)} 


2.12 数据 恢复 原理 


数据 恢复 拉 术 是 电子 数据 取证 中 最 第 用 的 基础 技术 之 一 ,不 仅 可 以 修复 受 损 的 价 盘 、U 
盘 等 存储 介质 ,使 其 能 够 被 正常 读 取 数据 ,而 且 还 能 够 从 电子 数据 存储 介质 中 恢复 修复 被 
删除 、 锌 损坏 的 数据 文件 和 数据 内 容 , 这 些 锌 恢复 修复 的 电子 数据 对 侦查 取证 具有 重要 的 
作用 。 
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数据 恢复 技术 通 第 分 为 两 大 类 : 逻辑 恢复 技术 和 物理 修复 技术 。 逻 各 恢 复 是 在 保存 数 
据 的 存储 介质 (如 人 硬盘、 存储 卡 等 ) 没 有 任何 物理 故障 ,计算 机 系统 能 够 正常 识别 和 访问 的 情 
况 下 ,对 存储 介质 中 丢失 或 受 损 的 数据 进行 恢复 的 技术 ; 物理 修复 则 是 在 保存 数据 的 存储 
介质 (如 便 盘 .存储 卡 等 ) 出 现 了 物理 改 隐 ,计算 机 系统 不 能 正 利 识别 或 访问 的 情 次 下 ,对 存 
储 介质 进行 修复 使 其 能 够 正 弟 工作 的 技术 。 物 理 修复 技术 通 第 又 分 为 固件 层 修复 和 物理 层 
修复 两 种 。 


2.12.1 远 辑 数据 恢复 原理 


一 般 来 说 ,高 级 格式 化 仅仅 更 新 了 文件 分 配 表 ,数据 区 并 没有 被 撤除 ,只 有 数据 控 除 或 
低级 格式 化 , 才 会 破坏 系统 区 域 和 数据 区 域 的 数据 。 数 据 区 域 的 数据 通常 通过 两 种 方式 恢 
复 : 一 种 是 按照 文件 系统 的 存储 原理 ,重建 MBR .DBR FAT、EFEDT, 根 据 存 储 介 质 内 的 数据 
信息 来 确定 记录 文件 或 目录 存储 位 置 的 FAT 或 MFT 中 的 值 ,从 而 找 回 丢失 的 数据 ; 男 一 
种 是 根据 文件 签名 特征 中 文件 头 和 文件 尾 特征 值 进行 检索 ,通过 文件 签名 特征 恢复 技术 直 
接 从 数据 区 域 的 数据 中 找 回 丢失 的 特定 格式 的 文件 。 以 FATI 文件 和 NTFS 文件 系统 为 例 
讲解 恢复 原理 。 

1. FAT 文件 系统 

在 Windows 系统 中 ,删除 文件 或 文件 夹 一 般 分 为 普通 删除 和 彻 克 删除。 普通 删除 是 将 
文件 或 文件 夹 移入 回收 站 (RECYCLER), 回 收 站 实际 上 是 Windows 系统 日 动 建立 的 一 个 
具有 隐藏 属性 的 文件 夹 ,位 于 每 个 人 硬盘 分 区 的 根 目 录 下 。 这 个 名 为 “Recycled”( 不 同 的 系统 
中 回收 站 的 名 称 可 能 会 不 同 ) 的 文件 夹 ,主要 用 来 暂时 存放 删除 的 文件 ,只 有 用 户 将 回收 站 
内 的 文件 再 次 删除 或 者 执行 清空 回收 站 命令 后 ,这 些 文件 才 会 被 彻底 删除 。 而 本 部 分 所 说 
的 删除 是 指 彻底 删除 ,一 般 是 通过 清空 gn ‘Shift 十 Del” 组 合 键 方式 删除 文件 或 文件 
夹 。FAT 文件 系统 删除 一 个 文件 或 文件 夹 需要 经 过 以 下 过 程 : 

(1) 将 文件 或 文件 夹 所 对 应 目录 项 的 第 一 个 字 节 被 标记 为 "已 删除 对 象 ” ,该 目录 项 将 
不 再 显示 给 用 户 。 

(2) 更 新 FAT,FAT 表 中 所 记录 的 分 配给 该 文件 或 文件 夹 的 所 有 和 族 的 状态 值 全 部 改变 
为 “未 分 配 族 ”(Unallocated)。 

通过 这 一 过 程 ,DATA 区 中 该 文件 或 文件 夹 的 实际 数据 并 未 发 生 改变 ,仍然 保留 在 原来 
的 簇 中 ,这 就 给 数据 恢复 和 取证 提供 了 可 能 。 图 2. 32 一 图 2. 34 是 FAT 逻辑 删除 的 对 比 图 。 

“FAT-test. txt 文件 被 删除 后 ,文件 目录 项 头 字 节 被 修改 为 删除 标记 ”E5”, 表 示 该 文件 
已 被 删除 ,FAT 表 中 该 文件 占用 的 复 被 标记 为 "0” ,表示 该 复 未 分 配 使 用 ,但 是 文件 的 数据 
区 域 并 没有 发 生 任何 变化 。 对 于 这 些 市 有 删除 标记 的 文件 ,操作 系统 会 认为 这 些 文件 已 经 
被 删除 了 ,在 操作 系统 下 不 借助 专门 程序 或 软件 是 看 不 到 的 ,直到 这 些 禾 被 新 的 文件 或 文件 
夹 占 用 , 当 再 次 往 硬 盘 中 写 人 数据 文件 时 ,系统 才 会 覆盖 这 些 被 标记 为 已 删除 的 文件 所 占用 
的 族 , 写 和信 新 的 数据 从 而 履 盖 原文 件 的 内 容 。 


00203420 
00203430 
00203440 
00203450 


00203420 
00203430 
00203440 
00203450 


00013890 
000138A0 
000138B80 
000138C0 


00013890 
000138A0 
000138B0 
000138C0 


0402D000 
0402D010 
0402D0020 
0402D030 
0402D040 
0402D050 


0402D000 
0402D010 
0402D020 
0402D030 
0402D040 
0402D050 


国 41 54 20 
BA 46 BA 46 
00 00 00 00 
00 00 00 00 


国 41 54 
BA 46 8A 
DUO O00 00 
00 00 00 


2D 
4 
00 
00 


图 2. 32 


25 3E 00 00 
29 3E 00 00 
FE 


00 00 00 00 


25 3E 00 00 
29 3E 00 00 
加 本 国 男 


00 00 00 00 


图 2. 


2. NTFS 文件 系统 


删除 文件 或 文件 夹 时 , 主 文件 表 MFT 中 会 玩 新 对 和 象 对 应 的 记录 ,将 其 状态 标记 为 可 重 
新 使 用 ,然后 在 位 图 文件 ($3 Bitmap) 中 将 对 象 所 占用 的 族 标 记 为 末 分 配 状 态 , 即 可 被 重新 
使 用 。 与 FAT 文件 系统 相同 ,只 要 原文 件数 据 所 在 的 和 色 还 未 被 分 配给 新 的 文件 ,对 象 的 实 
际 数据 束 仍 旧 保 留 在 便 盘 上 原来 的 存储 空间 里 , 仍 古 可 恢复 的 , 卫 到 这 些 禾 被 新 的 文件 或 文 
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00 


54 
00 
DD 
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45 
00 
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54 58 54 20 18 59 
BA 46 2C 3E 3B 00 
00 00 00 00 00 00 
00 00 00 00 00 00 


56 
00 
00 
00 


文件 删除 六 文件 目录 贰 


可可 4 
BO AD 
00 00 
00 00 


54 58 54 20 18 59 56 
BA 46 aC 3E 3B 00 00 
O00 00 00 00 00 00 00 
00 O00 UU0 00 00 00 00 


文件 删除 后 文件 目录 项 


00 00 
00 00 
00 00 
00 00 


27 3E 00 00 28 3E 0000| 


2B 3E O00 O0 FF FF FF OF 
00 00 00 00 00 00 00 00 
00 00 00 00 O00 00 00 00 


文件 删除 前 FAT 表 


00 00 
00 00 
00 00 
00 00 


27 3E 00 00 28 3E 00 00 
2B 3E 00 O00 FF FF FF OF 
00 00 00 00 00 00 00 00 
00 00 00 00 00 00 00 00 


文件 删除 后 FAT 表 


文件 系统 删除 文件 前 后 FAT 表 对 比 


DD OA 44 63 6 69 74 
OA 54 68 69 
pk < 20 46 41 54 <0 64 
73 74 2E 00 00 00 00 00 
00 00 00 00 00 00 00 00 
00 00 00 00 00 00 00 00 


文件 删除 六 文件 数据 


69 61 
65 BE 
20 66 
74 65 
00 00 
00 00 


6E OD OA 44 69 
3 69 63 OD OA 54 68 69 
BF 72 20 46 41 54 20 64 
73 74 2E 00 00 
00 00 00 00 00 
00 00 00 00 00 


文件 删除 后 文件 数据 


FAT32 文件 系统 删除 文件 前 后 文件 数据 区 对 比 


件 夹 占 用 。NTFS 删除 文件 时 $MFT 的 变化 如 图 2. 35 所 示 。 


= 


本 


FAT-TESTIXT .YYVIE 
FIF.."” IF,>;... 


二 是 有 二 二 


aAT-TESTIXT ,YWaE 


FAT32 文件 系统 删除 文件 前 后 目录 项 对 比 


而 十 前 各 而 而 二 面 而 前 而 击 而 而 前 十 


击 前 届 而 前 而 而 


Hanmajian. .Digit 
al Forensic. .Thi 
s file for FAT d 
alete test...... 


Hanmajian,. .Digit 
al Forensic. .Thi 
号 file for FAIT d 
eleaete test...... 
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ZAAA1400 


2hAA1410 
<AMAl1420 
AAA1430 
2hAAl1440 
2AAA1450 
2AAA1460 
AMA1470 
2AAA1480 
AAA1A490 
2AAA14A0 
ZhAAA14B0 
2AAA14C0 
2AAA14D0 
ZAAA14ED 
2AMA14F0 
2AAA1500 
2AAA1510 
2AAA1520 
2AAA1530 
ZAAA1540 
2AAA1550 
2AAA1560 
2AAMA1570 
2AAA1580 
ZAAA1590 
AMAA15AD 
2hAA15BO0 
AMA15C0 
2AAA15DO 
2AAA1S5ED 
AMA15F 0 
2hAA1600 


AAA1400 
2AAA1410 
ZAAA1420 
ZAAA1430 
2hAA1440 
ZAAA1450 
ZAAMA1460 
2hAA1A47D0 
ZAAA1480 
2AAA1490 
2hAA1A4AD 
ZAAA14B0 
2AMA1A4C0 
2AAA14D0 
2AAA14E0 
2ABA1A4FO0 
2AAA1500 
2AAA1510 
2AMA1520 
2AAA1530 
2AAA1540 
2AAA1550 
2AAA1560 
AAAl1SIO 
2AAA1580 
2AAA1590 
2AAA1S5AD 
2AAA15B80 
2AAA15C0 
2hAA1S5DO 
AMA1SED 
2AAA1SFO 
2AAA1600 


10 
07 


文 忻 删除 后 $MFT 


O02 


00 


00 


男 辆 男 国 00 


00 


| 7 
IVeGlsD. 1=f°1sD. 
l=ii°*lsD.h.hiluD. 


Tn LU 
-53 
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IVaClsD. IVeClsD. 
VBCIESB。。。。，。。。， 


画 二 面 二 十 二 而 前 前面 而 而 而 而 再 


IVeclsD. IV6ClsD. 
IVeclsD. V6ClsD. 


n..Digital Foran 
sie. .This file £ 
or NIFS daelete.. 


IVoGlsD .l=i"lsD. 
l=ii*1sD.h .hilOuD. 


Ne | 
ee re 
-ED 


EL 上 = 有 
IVeGlsD, 。。。，。，。 
saD.E.L.E.T.E.". 
1 El a 天 = 
De me 
IVeclsDd. is 是 上 = 四 
TVGOCTSB .TVGC1S3 . 
汪汪 日 有 全 全 人 
丰 - 七 .看 -一 -七 -看 -号 -七 - 
站 
O»_w#BE. IW.PVA.. 
I 
anma]jia 
n..Digital Foren 
sie, .This file £ 
or NIFS delete,.. 
-dt 


NTFS 文件 系统 删除 文件 前 后 $MFT 对 比 
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偏 移 量 00H 一 37H 为 $ MFT 属性 头 ,38H 一 4FH 为 MFT 的 10 属性 头 ,98H~AFH 
为 MFT 的 30 属性 头 ,188H 一 19FH 为 MFT 的 40 属性 头 ,1B0OH~1C7H 为 MFT 的 80 属 
性 头 ,“delete-test. txt” 文 件 被 删除 后 , $ MFT 属性 头 4 处 数据 发 生 了 变化 , 偏 移 08H 一 
0FH 处 由 “6F 0D E0 00 00 00 00 00” 被 修改 为 “A8 08 00 01 00 00 00 00”, 这 8 个 字 节 是 日 
志文 件 序列 号 ,每 当 文件 被 修改 时 ,都 会 在 $LogFile 日 志文 件 中 生成 相应 记录 ,从 而 引起 
1 志文 件 序列 号 发 生 改 变 。 偏 移 10H 一 11H 处 由 “01 00” 被 修改 为 “02 00”, 这 2 个 字 节 是 
厅 列 号 ,记录 主 文件 记录 表 被 重复 使 用 的 次 数 , 由 于 文件 被 删除 , 主 文件 记录 表 被 修改 ,因此 
厅 列 号 增加 1。 仿 移 16H~17H 处 由 “01 00” 被 修改 为 “00 00”, 这 2 个 字 节 是 主 文件 记录 表 
使 用 标志 ,,“00 00” 表 示 文 件 被 删除 。 偏 移 30H 一 31H 处 由 “08 00” 被 修改 为 “09 00”, 这 2 个 
字 市 是 主 文件 记录 表 的 更 新 序列 号 ,这 两 个 字 节 同时 会 出 现在 该 文件 记录 第 一 个 赎 区 和 第 
二 个 扇 区 最 后 两 个 字 节 处 ,但 是 $MTF 项 的 10H、30H、40H.、80H 属性 数据 均 未 发 生 改 变 。 
其 中 80H 属性 即 $ DATA 属性 ,容纳 着 文件 的 内 容 , 从 图 2.35 中 可 以 看 出 ,该 80H 属性 为 
常 驻 属性 ,属性 头 后 面 紧 跟 的 是 文件 的 内 容 , 文 件数 据 内 容 部 分 也 没有 发 生 改 变 , 常 驻 80H 
属性 以 “00H” 结 束 ,由 于 文件 属性 长 度 是 8 的 整数 倍 , 如 果 文 件 内 容 结束 不 能 达到 8 的 整数 
倍 时 就 用 “00H? 来 填充 。 


2.12.2 物理 修复 原理 


在 电子 数据 取证 工作 中 ,大 部 分 可 以 直接 通过 逻辑 数据 恢复 的 方式 找 回 丢失 、 受 损 的 数 
据 , 但 是 有 时 也 会 遇 到 电子 数据 存储 介质 的 控制 部 件 . 固 件 . 甚 至 是 数据 存储 体 ( 如 硬盘 盘 
片 .U 盘存 储 芯 片 ) 出 现 物理 或 者 逻辑 故障 ,导致 电子 数据 存储 介质 无 法 被 正确 识别 或 者 识 
别 数据 错误 ,这 就 需要 通过 物理 修复 的 方式 将 电子 数据 存储 介质 修复 至 正常 工作 ,或 者 直接 
读 取 硬盘 盘 片 及 数据 存储 芯片 内 的 数据 来 提取 、 恢 复 电子 数据 存储 介质 里 面 的 数据 。 物 理 
修复 主要 包括 固件 修复 、 物 理 故障 修复 .芯片 级 修复 三 个 方面 。 

1. 固件 修复 

固件 (Firmware) 是 固化 在 硬件 中 的 软件 ,存储 着 计算 机 系统 中 硬件 设备 最 基本 的 参 
数 ,为 系统 提供 最 底层 、 最 直接 的 硬件 控制 。 在 开机 过 程 中 ,首先 执行 固件 来 完成 对 硬件 设 
备 的 初始 化 ,使 操作 系统 能 够 正确 识别 硬件 并 为 其 他 软件 的 运行 提供 最 基本 的 依据 。 硬 盘 
的 固件 相当 于 硬盘 的 操作 系统 ,负责 着 驱动 .控制 .解码 传送、 检测 等 工作 。 固 件 修复 就 是 
对 固件 进行 重 写 或 者 修改 ,来 恢复 其 功能 的 过 程 。 

2. 物理 故障 修复 

人 硬盘 是 机 . 电 、 磁 一 体 化 的 复杂 系统 ,人 硬盘 物理 故障 主要 包括 电路 板 故 障 、 磁 头 组 件 故 
障 .主轴 电机 故障 、 盘 片 故障 等 方面 。 对 于 硬盘 电路 板 供电 、 接 口 、 缓 存 .BIOS .电机 驱动 芯 
片 等 出 现 故 障 时 , 既 可 以 通过 维修 或 更 换 受 损 电阻 、 电 容 \、 场 效应 管 等 元 右 件 修复 故障 硬盘 
的 电路 板 , 也 可 以 使 用 相同 型 号 硬盘 的 电路 板 蔡 换 故障 硬盘 的 电路 板 , 从 而 使 硬盘 恢复 正常 
工作 。 对 于 硬盘 磁头 芯片 .前 置信 号 处 理 器 . 音 圈 电机 、 磁 头等 磁头 组 件 出 现 故 障 时 ,由 于 磁 
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头 组 件 精 密度 高 .维修 成 本 高 ,因此 一 般 使 用 相同 型 号 硬盘 的 磁头 组 件 奉 换 故 障 硬 盘 的 磁头 
组 件 , 从 而 将 故障 硬盘 上 的 数据 读 取 出 来 。 

3. 心 片 级 修复 

芯片 级 存储 设备 已 经 开始 广泛 应 用 ,固态 硬盘 手机、 平板 电脑 、U 盘 、 存 储 卡 、 可 穿戴 
设备 工控 设备 等 都 采用 了 忌 片 存储 ,这 些 都 是 使 用 了 多 层 封装 或 多 芯片 封装 电子 可 擦 除 技 
术 的 闪存 类 存储 的 设备 ,这 些 芯片 级 存储 设备 具有 数据 动态 性 .系统 封闭 性 .存储 方式 多 样 
性 等 特点 。 芯 片 存储 设备 (U 盘 、 存 储 卡 .固态 硬 盘 等 ) 出 现 物理 故障 一 般 表现 为 没有 任何 
有 反应、 无 法 识别 的 设备 、 无 容量 、 无 媒体 、 无 法 格式 化 等 情况 ,故障 原因 一 般 为 接口 上 故障、 供电 
故障 、 唱 振 故 障 、 主 控 芯 片 故 障 、 闪 存 芯 片 故 障 或 其 他 元 器 件 烧 毁 。 对 于 U 盘 的 故障 ,一 般 
可 以 通过 焊 脚 补 焊 .替换 相同 频率 晶振 .替换 相同 型 号 主 探 芯片 等 方法 进行 修复 ,如果 U 盘 
电路 板 上 的 元 器 件 损坏 比较 严重 , 较 难 修复 ,可 以 将 其 闪存 芯片 吹 焊 下 来 ,直接 读 取 芯片 数 
据 ,将 内 容 解码 。 目 前 芯片 级 修复 已 经 有 成 功 的 案例 。 


2.13 数据 分 析 


2.13.1 数字 时 间 原 理 

在 电子 数据 取证 中 ,时 间 是 最 基本 也 是 最 重要 的 数字 证 据 。 电 子 数据 取证 中 关于 时 间 
的 证 据 一 卫 部 是 重要 而 且 复 洒 的 。 案 件 的 焦点 和 常 第 会 集中 到 时 间 问 题 上 ,因为 时 间 是 现实 
世界 和 难以 理解 的 电子 数据 世界 之 间 转 换 的 基点 。 通 过 时 间 , 可 以 确定 可 疑 文 件 可 以 确定 
何 时 被 建立 、 修改 和 访问 。 时 间 分 析 方 法 是 否 正 确 和 结果 是 否 精确 ,对 于 电子 数据 取证 是 至 
关 重 要 的 。 

1. 时 间 的 基本 知识 

在 计算 机 中 ,在 确认 时 间 的 时 候 , 通 党 包含 两 部 分 : 日 期 (date) 和 时 间 (time) ,而且 这 二 
者 妨 终 是 保存 在 一 起 的 。 便 于 理解 ,本 文中 所 称 的 时 间 都 是 包括 日 期 和 时 间 。 

(1) 时 间 概 念 

讨论 计算 机 世界 中 的 时 间 ,首先 要 提 及 天 文学 和 物理 学 中 的 时 间 概 念 。 

QD GMT(Greenwich Mean Time ,格林 尼 治 平均 时 ) 时 间 : 在 本 初子 午 线 (英国 格林 尼 
治 子 午 线 ) 上 的 平 太阳 时 被 确定 为 格林 威 治 平时 (GMT)。 

@ UTC 是 协调 世界 时 (Universal Time Coordinated) 瑞 文 缩写 ,由 原子 钟 提供 计时 ,以 
秒 为 基础 的 时 间 标 度 。UTC 相当 于 本 初子 午 线 ( 即 经 度 0 ) 上 的 平均 太阳 时 。 不 过 对 于 大 
部 分 应 用 来 说 ,GMT 与 UTC 的 功能 与 精确 度 是 没有 差别 的 。 在 本 书 中 ,定义 GMT 时 间 
等 于 UTC 时间 。 

3) 时 区 (Time zone) 

以 英国 伦敦 格林 尼 治 这 个 地 方 为 零度 经 线 的 起 点 ( 亦 称 为 本 初子 午 线 ) ,基准 时 间 为 格 
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林 尼 治 时 间 (GMT) ,以 地 球 由 西 回 东 每 24 小 时 自转 一 周 360° ,规定 每 隔 经 度 15 ,时 差 1 小 
时 。 而 每 15 的 经 线 则 称 为 该 时 区 的 中 央 经 线 , 将 全 球 划 分 为 24 个 时 区 。 例 如 中 国 的 时 区 
为 GMT 十 8 时 区 。 北 京 时 间 比 GMT/UTC 时 间 晚 8 小 时 ,以 2015 年 1 月 1 日 00:00 为 
例 ,GMT 时 间 是 零点 ,北京 时 间 为 2015 年 1 月 1 日 早上 8 点 整 。 

2. 时 间 定 义 

(1) 系统 时 间 

系统 时 间 以 CMOS 时 间作 为 基准 ,CMOS(Complementary Metal Oxide Semiconductor, 互 
补 金属 氧化 物 ) 是 板 载 的 半导体 芯片 。CMOS 由 主板 的 电池 供电 ,因此 即使 系统 掉 电 ,信息 
也 不 会 丢失 , 它 依 徘 主板 上 的 品 振 计算 时 间 则 隅 ,从 而 保存 当前 时 间 。 很 多 果 面 操作 系统 和 
应 用 程序 使 用 0x1A 中 断 访 问 CMOS 时 钟 。CMOS 时 钟 是 操作 系统 的 时 间 来 源 , 电 池 电 量 
不 足 或 者 晶振 频率 不 准 , 可 能 会 导致 CMOS 时 钟 变 慢 或 者 变 快 ,从 而 影响 操作 系统 的 时 间 。 
系统 时 间 一 般 以 当地 时 间 表 示 。 在 Windows XP 以 后 的 操作 系统 中 ,可 以 使 用 网 络 校 时 , 通 
过 网 络 与 Internet 时 间 服 务 带 同步 ,系统 时 间 和 CMOS 时 间 可 以 被 维护 在 一 个 较为 精确 的 
水 平 。 


例外 : MAC OS 是 将 CMOS 时 间 当 作 UTC 时 间 来 读 取 的 。 因 此 ,一 
日 CMOS 时 间 被 设置 为 当地 时 间 (Local time),MAC OS 会 将 其 加 上 时 
区 ,将 会 导致 时 间 被 重复 计算 。 


场景 应 用 


从 某 种 意义 上 讲 ,CMOS 时 间 是 所 有 时 间 的 来 源 , 操 作 系 统 读 取 CMOS 时 间作 为 系统 
时 间 ,文件 在 创建 \ 修 改 、 访 问 的 时 候 , 创 建 \、 修 改 、 访 问 时 间 是 根据 系统 时 间 进 行 修正 和 和 存 
储 的 。 

(2) 文件 时 间 

在 任何 的 操作 系统 中 ,文件 都 有 属性 时 间 。 属 性 时 间 的 格式 和 存储 方式 根据 系统 而 异 。 
在 某 些 文件 中 ,文件 中 还 会 有 内 杉 时 间 。 从 证 据 力 上 ,由 于 内 骨 时 间 不 为 人 知 , 内 舱 时 间 的 
证 据 力 要 大 于 属性 时 间 。 属 性 时 间 和 内 舱 时 间 统 一 被 称 为 文件 时 间 。 文 件 时 间 主 要 有 以 下 

OD 32 位 Windows/Dos 文件 时 间 格 式 

32 位 Windows/Dos 时 间 格 式 被 存储 于 32bit(4 字 市 ) 二 进 制 数 据 格 式 内 ,适用 于 大 部 
分 FAT 文件 系统 的 DOS 函数 调用 ,FAT 文件 系统 目录 项 中 的 文件 创建 ,修改 ,访问 的 时 间 
就 是 这 种 数据 结构 。 具 体 来 说 ,从 开始 位 置 ( 偶 移 量 0) ,5bit 的 数据 表示 秒 ,6bit( 偏 移 量 5 
开始 ) 表 示 分 钟 ,5bit( 偶 移 量 11 开始 ) 表 示 小 时 。 但 是 5bit 不 能 存储 60s 容量 ,因此 需要 以 
2 秒 为 增 量 。5bit( 偏 移 量 16 开始 ) 表 示 日 ,4bit( 偏 移 量 21 开始 ) 表 示 月 ,7bit( 偏 移 量 25 开 
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始 , 从 1980 年 开始 计算 ) 表 示 年 。32 位 Windows/ DOS 时 间 格 式 应 用 于 FAT 文件 格式 , 记 
录 文 件 创建 ,文件 修改 和 最 后 访问 的 本 地 日 期 和 时 间 (Local time)。 它 也 同样 应 用 于 MS 
DOS( 某 些 16bit 的 DOS 系统 除外 )。 表 2.5 所 示 为 32 位 Windows/ DOS 文件 时 间 格 式 的 


表 2.5 Windows/DOS 文件 时 间 格 式 -32bit 


创建 时 间 (Created Time) 除 了 32 位 的 时 间 表 示 外 ,还 有 1 个 字 节 (8bit) 保 存 有 17100 
秒 的 数值 ; 修改 时 间 (Modified Time) 是 正常 的 32 位 。 需 要 注意 的 是 ,根据 FAT 的 设计 ， 
访问 时 间 (Accessed Time) 只 保存 日 期 ,不 保存 时 间 。 而 且 32 位 Windows/DOS 时 间 显 示 
的 秒 只 能 为 偶数 (以 2s 为 间隔 )。 因 此 Windows/DOS 时 间 的 秒 显 然 证 据 效 力 较 低 , 它 的 其 
他 时 间 表 示 是 有 效 的 。 

@ 64 位 Windows/FILETIME 文件 时 间 格 式 @ 

64 位 Windows/FILETIME 文件 时 间 格 式 是 基于 1601 年 1 月 1 日 00:00:00, 以 100ns 
(lns 王 10“s) 递 增 的 UTC 时 间 格 式 。 这 种 格式 应 用 于 NTFS 格式 文件 系统 中 的 NTFS 
Master File Table(MFT) ,存储 文件 建立 时 间 , 最 后 修改 时 间 (Modified Time)、 最 后 访问 时 
间 (Accessed Time) 和 MFT 记录 最 后 修改 时 间 (Modified Time), 它 们 存储 的 是 GMT/ 
UTC 时 间 。64 位 Windows/FILETIME 文件 时 间 还 保存 在 日 志文 件 、 缩 略图 文件 和 快捷 
方式 文件 等 多 种 文件 中 。 

64 位 Windows/FILETIME 文件 时 间 格 式 为 8 个 宇 记 长 。 通 篆 最 后 一 位 是 01H。 但 
是 解析 它 的 时 候 , 要 注意 Windows 系统 使 用 的 是 x86 CPU ,这 类 CPU 是 采取 小 端 字 节 有 顺序 
存储 的 。 尽 管 64 位 Windows/FILETIME 时 间 格 式 的 精确 度 可 以 达到 100ns,; 但 是 时 间 截 
的 精确 度 还 取决 于 计算 机 的 内 部 时 钟 (BIOS) ,系统 时 钟 的 精度 只 有 lms, 因 此 在 Windows 
系统 中 ,64 位 Windows/FILETIME 时 间 实 际 上 的 精确 度 被 限制 为 lms。 

C/UNIX 文件 时 间 格 式 

C/UNIX 时 间 ,或 称 POSIX 时 间 , 是 UNIX 或 类 UNIX 系统 使 用 的 时 间 表 示 方 式 , 是 
从 协调 世界 时 (UTC)1970 年 1 月 1 日 0 时 0 分 0 秒 起 至 现在 的 总 秒 数 (不 包括 国 秒 )。 

UNIX 系统 开发 时 ,定义 了 C/UNIX 时 间 格 式 。 那 时 的 计算 机 操作 系统 是 32 位 , 即 它 
们 会 以 32 位 二 进 制 数字 表示 时 间 。 时 间 用 32 位 有 符号 数 (4 个 字 节 长 度 ) 表 示 , 则 可 表示 
68 年 ,用 32 位 无 符号 数 表示 ,可 表示 136 年 。 当 时 认为 以 1970 年 为 时 间 原 点 足够 可 以 了 。 
但 是 它们 最 多 只 能 表示 至 协调 世界 时 间 2038 年 1 月 19 日 3 时 14 分 07 秒 (二 进 制 : 


很 多 资料 (包括 微软 官方 ) 都 将 64 位 Windows/FILETIME 文件 时 间 格 式 称 为 FILETIME。 因 此 FILETIME 与 
64 位 Windows/FILETIME 文件 时 间 格 式 是 一 致 的 。 
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01111111 11111111 11111111 11111111), 在 下 一 秒 二 进 制 数字 会 是 10000000 00000000 
00000000 00000000 ,这 是 负数 ,因此 C/UNIX 时 间 将 会 重 置 。 这 时 可 能 会 导致 软件 发 生 问 
题 ,导致 系统 瘫痪 。 目 前 解决 方案 是 把 C/UNIX 时 间 格 式 由 32 位 转 为 64 位 。64 位 时 间 最 
多 可 以 表示 到 292 277 026 596 年 12 月 4 日 15 时 30 分 08 秒 。 例 如 Ext3 和 UFS 文件 系统 
使 用 32 位 的 C/UNIX 时 间 , 而 UFS2 和 Ext4 则 使 用 了 64 位 的 C/UNIX 时 间 , 这 是 一 种 

C/UNIX 时 间 在 UNIX 系统 中 和 网 络 传输 中 很 常见 。Java 和 Win32 可 执行 程序 也 使 
用 这 个 时 间 。Windows 存储 在 注册 表 中 的 开机 时 间 也 是 使 用 C/UNIX 时 间 格 式 。C/ 
UNIX 时 间 用 于 UFS1、UFS2 、Ext2、Ext3、Ext4 文件 系统 。 

(3) Windows 时 间 属 性 

当 文 件 被 建立 ,修改 和 访问 的 时 候 , Windows 系统 就 会 在 文件 系统 中 记录 时 间 。FAT 
时 间 格 式 则 是 基于 当地 时 间 (Local Time) 以 32 位 Windows/DOS 文件 时 间 格 式 存 储 , 所 以 
它们 不 会 因为 时 区 或 者 夏 时 制 而 被 改变 ,而 NTFS 文件 系统 则 基于 GMT/UTC 时 间 , 以 64 
位 Windows/FILETIME 文件 时 间 格 式 存 储 , 因 此 很 容易 因为 时 区 更 改 或 者 夏 时 制 的 原因 

M-A-C 时 间 ,请 注意 ,这 里 的 M-A-C 并 不 代表 苹果 的 MAC 文件 格式 或 者 网 卡 MAC 
地 址 ,而 是 修改 时 间 (Modified Time', 修 改 句 柄 被 天 闭 的 时 间 ) .访问 时 间 (Accessed Time)、 
创建 时 间 (Created Time) 的 简称 。M-A-C 时 间 在 FAT 文件 系统 中 以 32 位 Windows/DOS 
时 间 格 式 存 储 , 在 NTFS 文件 系统 中 是 以 64 位 Windows/FILETIME 时 间 格 式 存储 ，。 

中 创建 时 间 (Created Time,C 时 间 ) 

文件 或 目录 第 一 次 被 创建 或 者 写 到 硬盘 上 的 时 间 , 如 果 文 件 复制 到 其 他 的 地 方 , 创 建 时 
间 (Created Time) 就 是 复制 的 时 间 。 但 是 移动 文件 ,文件 将 会 保持 原 有 的 创建 时 间 
(Created Time), 

修改 时 间 (Modified Time,M 时 间 ) 

应 用 软件 对 文件 内 容 作 最 后 修改 的 时 间 ( 打 开 文 件 ,任何 方式 的 编辑 ,然后 写 回 便 盘 ) 。 
NTFS 中 $DATA、$INDEX ROOT 和 $INDEX ALLOCATION 属性 发 生 改 变 会 导致 修 
改 时 间 (Modified Time) 更 新 。 如 果 文 件 移 动 或 复制 到 其 他 的 地 方 ,这 个 时 间 不 变 , 如果 改 
变 一 个 文件 的 属性 和 重 命 名 ,这 个 时 间 也 不 变 。 

G@) 访问 时 间 (Accessed Time,A 时 间 ) 

某 种 操作 最 后 施加 于 文件 上 的 时 间 ,包括 查看 属性 .复制 .用 查看 硕 查 看 .应 用 程序 打开 
或 打印 。 几 乎 所 有 的 操作 都 会 重 置 这 个 时 间 ( 包 括 资源 管理 需 , 但 DIR 命令 不 会 ) 。 在 
Windows XP/2000/2003 的 NTFS 分 区 中 ,这 个 时 间 不 是 随时 更 新 的 ,访问 更 新 的 开关 在 
NTLM/SYSTEM/ControlSet001/ FileSystem 下 的 NtfsDisableLastAccessUpdate,0 为 人 允 
许 ,1 为 禁止 。 即 使 允许 更 新 ,NTFS 也 是 以 一 小 时 为 间隔 更 新 访问 时 间 (Accessed Time)。 
但 是 在 Windows Vista/7/2008 ,微软 为 了 提升 性 能 ,禁止 了 访问 时 间 (Accessed Time) 的 更 
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新 (NtfsDisableLastAccessUpdate 二 1)。 这 并 不 意味 着 访问 时 间 (Accessed Time) 不 会 改 
变 。 当 文件 被 修改 和 跨 卷 移动 时 ,访问 时 间 (Accessed Time) 仍 然 会 改变 。 

为 了 减轻 系统 开销 ,文件 的 最 后 访问 时 间 (Accessed Time) 的 更 新 间隔 被 设置 成 最 近 的 
一 天 (FAT) 或 最 近 的 一 小 时 (NTFS)。 因 此 需要 注意 ,最 后 访问 时 间 (Accessed Time) 不 是 
精确 时 间 ,不 能 作为 证 据 使 用 。 

@ 节点 修改 时 间 (Modified Time)(E 时 间 ,ENTRY MODIFIED) 

NTFS 使 用 数据 流 来 存储 数据 ,在 文件 任何 属性 和 内 容 变 化 时 ,相应 的 数据 流 就 被 改 
变 。 在 文件 系统 中 ,数据 流 相 应 的 也 有 一 个 修改 时 间 (Modified Time) , 称 为 市 点 修改 时 间 
(Modified Time)(E 时 间 )。 所 以 NTFS 的 时 间 也 被 称 为 M-A-C-E 时 间 。 例 如 NTFS 的 时 
则 元 数据 存储 在 Master File Table (MFT) 的 $STANDARD INFO 和 $FILE_NAME 流 
中 。 这 两 个 数据 流 本 身 都 有 节点 修改 时 间 (Modified Time) ,而 它们 的 内 容 中 保存 着 M-A- 
C-E 时 间 。$ FILE_NAME 中 的 时 间 为 Unicode 编 翁 。 表 2.6 所 示 为 M-A-C 时 间 的 精度 。 

表 2.6 M-A-C 时 间 精 度 
文件 系统 修改 时 间 (Modified Time) | 访问 时 间 (Accessed Time) 


FAT 10ms 2s 1 天 
NTFS l00ns 100ns 1 小 时 


相对 的 ,UNIX/Linux 下 文件 的 时 间 包 括 最 后 修改 时 间 (Modified Time)、 最 近 访 问 时 
间 (Accessed Time) ,i 节点 变化 时 间 。 在 Ext3 下 还 包括 删除 时 间 ( 如 果 没 有 设置 就 为 1970- 
01-01 00:00:00); Mac OS 的 文件 的 时 间 包 括 创 建 时 间 (Created Time)、 修 改 时 间 
(Modified Time)、 备 份 时 间 和 最 后 检查 时 间 。 

(4) 文件 内 瞬时 间 

超过 25000 种 文件 内 部 都 有 了 时间 惟 。 这 些 内 置 的 时 间 不 为 人 知 , 也 不 易 被 算 改 。 很 多 
文件 都 具有 标准 格式 ,可 以 路 平台 使 用 。 例 如 Word 中 内 艇 有 M-A-C 时 间 , 这 些 文件 是 时 
间 证 据 的 重点 调查 对 象 。 


2.13.2 文件 挖掘 


在 电 了 于 数据 取证 中 经 党 需要 控 掘 人 硬盘 中 的 各 种 数据 ,文件 挖掘 (File Carving) 又 称 为 文 
件 雕 刻 ,是 近年 来 电子 数据 取证 提出 的 一 个 新 的 概念 。 文 件 挖掘 是 从 未 知 的 二 进 制 数据 中 
获取 有 效 的 .可 理解 的 数据 的 过 程 。 

文件 挖掘 是 针对 元 数据 (Metadata) ,在 电子 数据 取证 领域 中 关注 的 元 数据 一 般 多 数 指 
的 是 一 些 特 征文 件 类 型 中 内 部 属性 数据 ,该 属性 信息 可 能 可 以 直接 在 操作 系统 中 查看 ,也 可 
能 需要 依 助 第 三 方 工 具 来 提取 。 在 一 些 稼 见 的 类 型 ,如 微软 Word、Excel、PowerPoint 文档 
中 有 作者 、 计 算 机 名 等 元 数据 信息 ,视频 文件 ,音频 文件 可 能 也 含有 编辑 者 等 相关 信息 。 

通过 对 文件 挖掘 ,获取 文件 元 数据 信息 在 特定 案件 调查 中 能 起 到 天 键 性 作用 ,了 解 文档 
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创建 人 相关 信息 (如 中 英文 姓名 .单位 信息 ) ,在 早期 Word 文档 中 甚至 记录 了 文档 存储 历史 
位 置 的 信息 ,这些 信 息 可 能 成 为 案件 调查 的 关键 。 

典型 的 文件 挖掘 是 利用 预 运算 .核对 和 重组 技术 ,搜索 文件 头 或 文件 尾 , 提 取出 这 两 个 
范围 之 间 的 文件 内 容 。 但 是 文件 挖掘 并 不 只 限于 如 此 , 它 的 目标 不 单单 是 从 便 盘 中 挖掘 出 
文件 ,还 包括 从 内 存 等 raw 存储 挖 据 出 信息 。 文 件 挖掘 目 前 主要 有 以 下 几 类 ; 
普通 挖掘 (Carving): 从 原始 数据 (raw) 数 据 中 提出 文件 或 者 数据 。 
文件 头 / 尾 挖掘 (Header/Footer Carving): 通过 定位 文件 涉 和 尾 的 位 置 ,来 所 取 文 
件 。 这 种 挖掘 技术 又 称 为 “文件 签名 挖 据 ” 拉 术 。 例 如 html 文件 jpeg 文件 的 恢复 。 
涉 十 长 度 挖掘 (Header/Maximum (file) size Carving): 呈 能 定位 或 只 有 文件 涉 , 同 
时 文件 长 度 固 定 或 不 影响 文件 内 容 , 可 以 规定 一 个 纪 围 来 提取 文件 。 
文件 结构 挖 气 (File structure based Carving): 通过 解析 文件 内 部 结构 和 编码 ,来 耳 
接 解 析 其 中 重要 信息 和 恢复 文件 。 文 件 结构 挖掘 是 针对 文件 数据 绪 构 来 进行 分 析 
的 ,是 电子 数据 取证 使 用 最 为 广 沁 的 技术 。 例 如 对 于 Office 文件 Index. dat、 回 收 
站 文件 等 文件 的 取证 都 是 基于 文件 结构 挖掘 技术 的 。 
砍 上 厂 恢复 挖 据 (Fragment Recovery Carving): 超过 两 个 以 上 的 雄 片 ,通过 重组 形成 
原始 文件 。 
重 构 控 掘 (Repackaging Carving): 通过 给 酚 片 文件 添加 重要 结构 ,例如 文件 头 、 文 
件 尾 和 关键 结构 信息 。 可 以 使 其 重新 被 识别 ,例如 文件 涉 丢 失 的 html 文件 。 


2.13.3 网 络 数 据 分 析 


网 络 数据 利用 各 种 协议 进行 传输 。 网 络 数据 传输 是 一 个 动态 的 过 程 ,因此 网 络 数据 是 
无 法 进行 静态 分 析 的 2。 对 于 网 络 数 据 进 行 分 析 ,一 般 使 用 嗅 探 的 方法 进行 。 

嗅 探 (Sniff) ,也 称 为 监听 , 嗅 探 指 通过 某 种 方式 截获 并 禄 听 不 是 发 送 给 本 机 或 本 进程 
的 数据 包 的 过 程 。 串 探 器 (Sniffer) , 即 能 够 实现 嗅 探 的 工具 ,有 软件 和 硬件 两 种 类 型 。 网 络 
嗅 探 技术 在 电子 数据 取证 技术 和 黑客 渗透 技术 中 都 处 于 非常 重要 的 地 位 。 了 解 网 络 嗅 探 技 
术 的 原理 有 助 于 对 网 络 数据 进行 分 析 。 

根据 工作 环境 和 原理 的 不 同 , 嗅 探 技术 可 以 分 为 以 下 两 种 类 型 ， 

1. 本 机 噢 探 

本 机 咒 探 是 直接 分 析 本 机 网 卡 上 的 网 络 传输 数据 。 本 机 串 探 不 需要 太 复 杂 的 设置 , 直 
接 利用 嗅 探 工 具 即 可 以 进行 。 例 如 本 机 上 有 后 门 程序 ,可 以 利用 嗅 探 获 取 后 门 程序 与 远程 
服务 器 间 的 通信 ,以 达到 追踪 人 侵 者 的 目的 。 

2. 网 络 嗅 探 

数据 的 收发 是 由 网 卡 来 完成 的 ,网 卡 接收 到 传输 来 的 数据 ,网 卡 构造 了 硬件 的 “过 滤 


目 网 络 数据 保存 在 本 地 后 ,形成 的 本 地 数据 已 经 不 属于 网 络 数 据 的 范畴 。 
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颖 ”, 通 过 识别 MAC 地 址 过 滤 挥 和 目 己 无 关 的 信息 ,也 就 是 说 ,正常 网 卡 设 置 在 “直接 方 
式 ”。 咒 探 程 序 只 需 关 闭 这 个 过 滤 絮 ,将 网 卡 设置 为 “混杂 模式 ”, 同 时 动 持 网 络 数 据 包 就 可 
以 进行 嗅 探 。 

根据 功能 不 同 , 咒 探 器 可 以 分 为 通用 吕 探 器 和 专用 别 探 器。 前 者 文 持 多 种 协议 ,如 
tcpdump、Wireshark、Sniffit 等 ; 后 者 是 针对 特定 协议 进行 嗅 探 的 ,例如 专门 嗅 探 Wifi 的 
串 探 磊 。“ 斯 庄 登 事件 ”中 披露 的 美国 国家 安全 局 (NSA) 对 互联 网 数据 进行 截获 ,利用 的 原 
理 非常 简单 ,就 是 咒 探 。 


2.14 密码 破解 


2.14.1 密码 学 基础 


1. 密码 学 分 类 
密码 学 根据 其 研究 的 范畴 可 分 为 密码 编码 学 和 密码 分 析 ( 破 解 ) 学 。 密 人 码 编码 学 和 密码 
分 析 学 是 相互 对 立 、 相 互 促进 而 发 展 的 。 密 码 编 码 学 是 人 研究 密码 体制 的 设计 、 对 信息 进行 编 
码 表示 实现 信 息 隐藏 的 一 门 科学 。 密 码 分 析 学 ,是 研究 如 何 破 解 被 加 密 信 息 的 一 门 科学 。 
2. 术语 
在 密码 学 中 ,我 们 把 要 传送 的 以 通用 语言 表达 的 文字 内 容 称 为 明文 ,由 明文 经 过 一 些 规 
则 变换 而 来 的 一 串 和 从 号 称 为 密 文 ,把 明文 经 过 变换 规则 而 变 为 密 文 的 过 程 称 为 加 密 , 反 之 ， 
由 密 文 经 过 约定 的 变换 规则 变 为 明文 的 过 程 称 为 解密 。 
例如 ,我 们 要 传送 一 段 明文 :“COMPUTER”, 经 过 变换 规则 变换 后 成 为 “FRPSXWHR”， 
变换 规则 如 表 2.7 所 示 。 
表 2.7 凯撒 密 表 
明文 字母 ABCPDEFGHIJKLMNOP PRSTUVWXY Z 
密 文 字母 DEFGHI JKLMNOPQRSTUYVWXY ZABC 


表 2.7 就 是 密码 学 史上 者 名 的 " 骨 撤 密 表 ”, 密 表 中 的 规则 可 简单 概括 为 “后 移 3 位 ”。 
那么 ,相信 任何 人 员 拿 到 密 文 后 ,都 能 很 快 通过 密 表 推出 明文 。 在 这 里 ,通常 我 们 把 规则 中 
的 “3” 称 为 密 钥 ,所 用 到 的 变换 规则 一 一 密 表 ,看 作 “ 加 密 算 法 ”。 

3. 密码 破解 的 基础 理论 

目前 计算 机 中 通用 的 加 密 算法 有 DES、RSA、MD5、SHA1、AES 等 ,这 些 加 密 算 法 都 是 
公开 的 标准 ,甚至 连 密 钥 也 公开 。 一 方面 ,互联 网 的 本 质 是 为 了 资源 共享 ,因此 标准 要 统一 ， 
方便 数据 交换 。 另 一 方面 ,由 于 这 些 加 密 算 法 很 强壮 , 按 当 时 的 技术 环境 ,即使 公开 发 布 也 


OD 曾经 称 为 Ethereal。 
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不 会 对 数据 的 安全 性 产生 太 大 影响 。 但 是 , 随 着 计算 机 运算 速度 的 提高 ,密码 破解 技术 也 加 
速 发 展 , 它 强 大 的 穷 举 能 力 抵 消 了 某 些 加 密 算法 的 优势 ,使 得 在 有 限 的 时 间 内 破解 复杂 的 加 
密 算法 变 为 可 能 。 事实 上 ,我 们 工作 中 所 使 用 的 密码 破解 工具 ,多 数 还 是 基于 机 器 的 超 强 计 
算 能 力 并 配合 穷 举 方法 而 设计 的 。 也 正 是 因为 计算 机 中 这 种 通用 的 密码 设计 体制 ,我 们 的 
密码 破解 工作 才 没 有 那么 遥远 。 

上 述 理论 表明 ,无 论 我 们 面临 何 种 密码 破解 问题 ,首先 要 了 解 对 象 的 加 密 体 制 ,不 同 的 
系统 , 因 加 密 体制 不 一 样 ,对 应 的 破解 方法 也 不 同 , 我 们 手中 的 破解 工具 都 是 有 局 限 性 的 ,不 
可 能 穷 极 所 有 问题 。 


2.14.2 解密 原理 与 方法 


在 计算 机 领域 中 ,密码 加 密 主 要 用 于 两 方面 : 一 是 登录 口令 ; 二 是 文件 加 密 。 密 码 破 
解 要 认真 分 析 检 材 的 加 密 类 型 和 算法 ,这 样 才能 有 的 放 矢 进行 解密 工作 。 通 常情 况 下 ,一 个 
密码 可 能 会 包含 如 下 符号 : 26 个 小 写字 母 (a 一 z) ,26 个 大 写字 母 (A 一 Z) ,10 个 数字 (0 一 9) 
和 33 个 其 他 字符 (! @@#$ %^, 等 )。 用 户 可 以 使 用 这 95 个 字符 的 任意 组 合作 为 密码 。 

目前 ,密码 破解 的 常用 方法 有 茶 力 破解 , 宇 典 漏洞 ,社会 工程 学 攻击 等 。 其 中 ,其 力 破 
解 是 最 常用 的 破解 方法 。 通 常 来 看 ,计算 机 的 运算 能 力 是 以 CPU 运算 能 力 来 衡量 的 ,从 早 
期 的 8086 到 奔腾 4 处 理 器 ,基于 单 核 的 人 处理 器 计 算 能 力 已 经 有 了 很 大 提高 。 但 是 单纯 地 靠 
提高 单 核 处 理 器 速度 来 提升 整个 系统 性 能 已 非常 困难 。 串 行 处 理 器 的 主要 厂商 Intel 和 
AMD 纷纷 推出 多 核 产 品 ( 双 核 , 三 核 , 四 核 其 至 六 核 ), 同 时 向 着 更 高 目标 前 进 。CPU 的 运 
算 速度 日 新 月 异 ,但 是 对 于 密码 破解 来 说 ,仅仅 提高 CPU 的 运算 速度 是 杯 水 车 新 ,还 还 不 
能 达到 实用 化 的 目的 ,因此 ,一 些 新 的 技术 开始 应 用 于 密码 破解 领域 ,例如 彩虹 表 、 密 码 统 过 
技术 。 借 助 这 些 新 的 技术 ,一 些 密码 破解 方法 逐渐 实用 化 。 同 时 ,由 于 操作 系统 和 软件 开发 
的 成 本 和 难度 加 大 ,密码 的 发 展 处 于 一 个 相对 平缓 的 时 期 ,新 的 密码 破解 方案 就 可 以 在 计算 
机 硬件 发 展 的 基础 上 对 密码 保护 形成 一 个 暂时 的 、 可 行 的 解雇 方案 。 


思 考 题 


. 现代 计算 机 的 设计 理论 是 什么 ? 

.位 存储 颖 的 存储 机 制 是 什么 ? 

. 机械 便 盘 的 物理 结构 主要 分 为 几 个 部 分 ? 

. 机械 硬盘 的 逻辑 结构 是 什么 ? 

.第 见 的 文件 系统 有 哪些 ? 

， 请 列举 出 三 种 以 上 硬盘 数据 接口 ,并 说 明 其 特性 。 
， 网络 体系 结构 的 两 种 主要 类 型 是 什么 ? 

. 简 述 TCP 协议 。 
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9. 请 列举 出 三 种 果 面 操作 系统 和 两 种 诅 人 式 操 作 系 统 。 


10. 
11. 
12, 
上 
14. 
Ly 
9, 
1 
19, 
1 
20， 
2 


什么 ? 


A 
a 
24. 
PA 
20， 
机 


什么 是 松弛 区 (Slack)? 

未 分 配 空间 (Unallocated Space) 是 指 什么 区 域 ? 
FAT 在 文件 系统 中 的 作用 是 什么 ? 

MBR 在 文件 系统 中 的 作用 是 什么 ? 

NTFS 系统 的 优越 性 体现 在 哪些 方面 ? 

营 用 的 数 制 有 哪些 ? 

什么 是 8421 算法 ? 

数据 获取 的 主要 格式 是 什么 ? 

数据 校 验 的 应 用 有 哪些 ? 

大 端 和 小 端的 区 别 有 哪 些 ? 

使 用 URL(UTF-8) 编 码 “%e5%88%98%e6%b5%a9%e9%98%b3” 的 中 文 内 容 是 


关键 词 搜索 的 主要 类 型 是 什么 ? 

MBR、DBR 分 别 由 哪 几 部 分 组 成 ? 

FAT 的 删除 原理 是 什么 ? 

32 位 Windows/ DOS 文件 时 间 格 式 的 文件 结构 是 什么 ? 
如 何 利 用 凯撒 密码 ,解密 “ORYH”? 

密码 破解 的 主要 方法 是 什么 ? 


电 于 效 据 的 法 律 规 则 和 标准 体系 


本 章 学 习 目 标 

。 英美 法 系 的 电子 数据 法 律 规则 

。 大 陆 法 系 (我 国 ) 的 电子 数据 法 律 规则 
”我 国 关 于 电子 数据 的 相关 立法 

公安 部 门 对 电子 数据 取证 程序 的 相关 规定 
电子 数据 与 其 他 证 所 的 区 别 

。 电子 数据 审查 

。 国际 电子 数据 取证 的 标准 体系 

。 我 国电 子 数据 取 证 的 标准 体系 


电子 数据 对 各 国法 律 体系 来 说 是 个 新 生 事 物 。 近 年 来 ,各 国 根 据 实际 情况 出 台 了 符合 
本 国 国 情 的 关于 电子 数据 的 法 律 法 规 。 这 些 法 律 法 规 是 电子 数据 取证 的 根本 依据 。 标 准 是 
法 律 的 有 力 补充 ,标准 具备 很 强 的 操作 性 ,是 电子 数据 取证 具体 工作 的 主要 依据 。 电 子 数据 
取证 要 求 取 证 人 员 既 了 解 国内 外 关于 电子 数据 的 法 律 法 规 , 又 能 熟悉 现 有 国际 及 国内 相关 
取证 标准 及 取证 指南 ,在 工作 中 参照 使 用 ，。 


3.1 电子 数据 的 法 律 规 则 


电子 数据 的 类 型 和 特点 决定 了 其 作为 证 据 用 于 法 胜 展 示 的 特殊 性 。 电 子 数据 需要 将 虚 
拟 内 容 以 物理 形式 展现 给 法 庭 。 这 驶 涉及 电子 数据 的 可 视 化 。 由 于 对 电子 数据 这 一 证 据 本 
奈 的 不 了 解 ,电子 数据 在 司法 实践 中 可 能 以 勘 验 笔 录 、 鉴 定 意 见 等 形式 出 现 ,甚至 可 能 以 书 
证 的 形式 出 现 。 但 是 从 未 来 发 展 和 法 律 实践 中 看 ,电子 数据 应 当 作 为 独立 的 证 据 类 型 进行 
认定 。 
3.1.1 美美 法 系 

英美 法 系 并 没有 单独 的 电子 数据 法 律 法 规 。 在 以 前 的 司法 实践 中 ,电子 数据 可 能 以 其 
他 证 据 形 式 ,例如 书证 \ 传 图 证 据 出 现 。 瑞 美 法 系 的 特点 : 一 是 证 据 规 则 数量 多 ; 二 是 相关 
判例 多 。 这 些 证 据 规 则 和 判例 是 英美 法 系 证 据 制 度 的 有 机 组 成 部 分 。 网 络 犯罪 的 冲击 使 得 
闫 美 法 系 国 家 纷纷 进行 证 据 法 的 相关 修正 解释, 或 者 进行 新 的 立法 。 
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美国 没有 统一 的 电子 数据 的 相关 法 律 。 与 电子 数据 相关 的 法 律 规定 散 见 在 证 据 法 和 其 
他 相关 法 律 中 。 就 证 据 法 而 言 ,美国 表现 出 成 文法 与 判例 法 并 存 、 联 邦 法 与 州 法 并 存 的 特 
点 。 美 国 最 重要 的 成 文 证 据 法 典 是 《联邦 证 据 规 则 》 和 《统一 证 据 规 则 》, 前 者 适用 于 联邦 法 
庭 、 后 者 适用 于 各 州 。 美 国 的 证 据 规 则 ,虽然 没有 单独 的 提出 "电子 数据 ”这 一 概念 ,但 是 在 
坚持 “原件 ”原则 的 同时 ,通过 增加 例外 条 于 ,解决 了 电子 数据 作为 证 据 使 用 的 最 后 障碍 。 

美国 通过 一 系列 的 法 律 来 补充 加 强 电 子 数 据 的 使 用 ,例如 《计算 机 欺诈 和 滥用 法 》 
(Computer Fraud and Abuse Act) 《爱国 者 法 》(Patriot Act) 。 同 时 州 法 也 根据 实际 情况 制 
定 了 关于 电子 数据 的 相关 法 律 。 例 如 ,美国 加 利 福 尼 亚 州 2009 年 颁布 了 《电子 证 据 开 示 法 》。 

英国 《警察 与 刑事 证 据 法 兴 1984) 规 定 : 警察 可 以 把 存 贮 在 计算 机 中 的 信息 作为 证 据 。 
《民事 证 据 法 兴 1968) 规 定 : 证 人 可 以 通过 音像 媒体 或 者 其 他 形式 回 法 院 提供 证 据 。 

加 拿 大 1998 年 颁布 了 《统一 电子 证 据 法 》(CUniform Electronic Evidence Act) ,直接 以 
电子 记录 (Electronic Record) 和 电子 记录 系统 来 界定 电子 数据 ,对 电子 数据 的 定义 .适用 范 
转 作 了 具体 的 规定 。2000 年 加 拿 大 证 据 法 (Evidence Act of Canada) 的 修订 第 31 节 基 本 上 
全 面 吸收 太 统 一 电子 证 据 法 》 的 内 容 。 作 为 英美 法 系 的 重要 分 文 , 加 拿 大 对 “原件 ?进行 概 
念 的 外 延 直接 确定 了 电子 数据 的 证 据 地 位 。 除 此 之 外 ,加 拿 大 爱德华 王子 岛 省 J 和 育 空 省 % 
都 制定 了 相关 的 电子 数据 的 本 地 法 律 。 

英美 法 系 最 大 的 特色 就 是 对 程序 的 重视 ,如 “正当 程序 ”之 类 的 概念 就 是 起 源 于 英美 法 
系 。 总 体 上 说 ,于 美 法 系 证 据 规则 壹 多 , 且 内 容 比 较 复杂 、 具 体 。 因 此 ,即使 成 熟 的 瑞 美 法 
系 , 在 电子 数据 作为 证 据 进 入 到 法 律 过 程 中 ,也 过 到 了 一 些 现实 的 困难 。 这 些 困 难 主 要 包括 
证 据 的 认定 和 证 据 有 效 性 。 电 子 数 据 在 器 类 法 系 中 主要 面临 以 下 证 据 规 则 的 挑战 。 

1. 最 佳 证 据 规 则 

在 英美 法 系 ,最 佳 证 据 规 则 (Best Evidence Rule) 指 的 是 “对 于 文书 并 以 此 证 明 案 件 玻 
实情 况 的 证 据 ,证据 法 上 要 求 通常 必须 出 示 原 件 ,只 有 没有 理由 怀疑 副本 准确 性 的 情况 下 ， 
才 可 以 作为 例外 不 出 示 原 件 ,出 示 副 本 。 这 一 规则 就 是 著名 的 “最 佳 证 据 规 则 ”( Best 
Evidence Rule) ,有 时候 亦 被 称 为 “原本 法 则 ”(Original Document Rule)。 最 佳 证 据 规 则 是 
一 项 非 贡 证 老 的 制度 ,并 且 在 英美 法 系 浊 有 较 遍 的 地 位 。 按 照 英 美 法 系 的 最 佳 证 据 规 则 ,只 
有 文件 的 原件 (Original) ,才能 作为 证 据 被 采纳 。 美 国联 邦 证 据 规 则 原先 规定 ,要 证 明文 书 
的 内 容 有 必要 提出 文书 的 原件 。 加 拿 大 证 据 法 有 关 最 佳 证 据 规 则 也 要 求 提供 原件 。 

如 果 坚 持 须 以 原件 才能 作为 证 据 , 电 子 数 据 就 会 过 到 难以 克服 的 困难 。 因 为 计算 机 输 
出 的 书面 材料 很 难说 是 原件 ,并 不 能 做 到 表面 内 容 和 隐 合 内 容 与 书证 一 致 。 按 照 上 述 最 佳 
证 据 规 则 的 要 求 , 这 种 由 计算 机 输出 的 资料 是 不 能 被 采纳 为 证 据 的 。 


外。 加 拿 大 爱德华 王子 岛 省 4 电子 证 据 法 并 2001) 。 
@@” ”加拿大 育 空 省 (电子 证 据 法 》(2002)。 
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2. 传闻 规则 

传闻 规则 (Hearsay Rule) 是 英美 法 所 特有 的 证 据 规 则 。 所 谓 传闻 是 指证 人 在 法 许 内 重 
述 另 一 人 以 口头 .文书 或 者 其 他 方式 所 做 的 陈述 。 传 闻 规 则 规定 “除了 法 律 明文 规 定 的 例外 
情况 ,传闻 证 据 原 则 上 不 具有 可 采纳 性 ,不 得 提交 法 庭 调查 质证 ,已 经 在 法 庭 出 示 的 ,不 得 提 
交 陪 审 员 ”。 这 项 原则 应 用 于 计算 机 便 会 遇 到 难以 解雇 的 问题 ,因为 电子 记录 的 产生 过 程 不 
同 于 人 的 语言 形成 过 程 ,电子 记录 系统 本 喘 无 法 对 电子 记录 的 产生 为 进行 证 明 。 电 子 记 录 
通过 计算 机 来 传输 和 处 理 时 ,信息 内 容 和 状态 很 容易 发 生 改 变 , 而 又 不 能 对 计算 机 进行 交叉 
询问 ,因此 ,英美 的 传统 理论 和 判例 认为 ,由 计算 机 输出 的 书面 材料 只 是 一 种 传 于 证据 ,原则 
上 是 不 能 被 采 纳 为 证 据 的 。 

类 国 的 最 佳 证 据 规 则 和 传闻 规则 显然 对 电子 数据 的 可 采 性 产生 了 很 多 障碍 。 法 官 利 用 
美国 独特 的 “ 目 由 心 证 ”制度 在 很 多 案件 中 巧妙 、 适 当地 避 开 了 最 佳 证 据 规 则 和 传闻 规则 对 
电子 数据 的 限制 。 如 在 1992 年 的 Doe v，United States 案件 中 ,原告 起 诉 美国 政府 管辖 的 
军事 医院 在 给 他 输血 的 过 程 中 ,由 于 医院 的 不 负责 任 使 他 感染 了 艾滋 病 病毒 。 美国 政府 提 
供 的 一 份 证 据 是 从 陆 车 航空 队 电 子 数 据 库 打印 出 来 的 文书 记录 。 原 告 认为 这 份 证 据 有 违 最 
佳 证 据 规 则 和 传闻 规则 。 法 官 回 政府 提出 证 实 打 印 文书 真实 性 的 要 求 , 随 后 政府 补 交 了 程 
序 性 证 明 资 料 ,被 法 官 采 纳 , 并 据 此 认定 该 文书 是 计算 机 数据 的 准确 打印 物 。 法官 认为 “这 
里 与 典 型 的 最 佳 证 据 规 则 不 相符 ,但 是 也 不 构成 对 该 规则 的 违反 。” 

随 看 对 于 电子 数据 的 逐步 认可 ,电子 数据 作为 证 据 的 单独 认定 显得 非 第 有 必要 。 而 且 
由 于 电子 数据 的 特性 ,对 其 进行 逐 比 特 位 的 复制 (Duplicate) 形 成 的 复制 件 ,与 原件 并 无 二 
致 。 因 此 美国 《联邦 证 据 规 则 出 》2015 版 (Federal Rules of Evidence 2015) 对 证 据 进 行 了 重 
新 界定 ,其 中 101 条 规定 ,证 据 的 范围 包括 “任何 形式 的 书面 材料 或 其 他 介质 包括 以 电子 形 
式 存 储 的 信息 ”。 第 1001 条 规定 ,“ 对 于 电子 形式 存储 的 信息 , 原 娘 性 意味 看 能 够 精确 反映 
原始 信息 的 打印 输出 以 及 其 他 可 视 化 输出 ”;“ 副 本 意味 看 机 械 、 图 片 、 化 学 、 电 子 和 其 他 等 
同 过 程 或 技术 的 与 原件 完全 一 致 ”。 第 1003 条 规定 了 “副本 ”的 法 律 效力 ,“ 在 排除 对 原件 有 
效 性 的 质疑 或 者 环境 会 对 复制 件 造 成 影 啊 的 例外 ,副本 与 原件 效力 一 致 *。 这 就 使 得 电子 数 
据 可 以 作为 证 据 使 用 。 英 国 也 同期 废止 了 传闻 规则 ,同时 在 最 佳 证 据 原 则 中 增加 了 例外 


3.1.2 大 陆 法 系 


大 陆 法 系 的 证 据 法 分 为 两 种 类 型 : 一 种 是 允许 日 行 提出 证 据 , 德 国 \ 日 本 等 国 属 于 这 种 
类 型 ,这 些 国 家 ,原则 上 可 以 提出 任何 证 据 , 但 是 法 院 衡量 采纳 ; 男 一 种 是 明文 规定 证 据 的 
类 型 ,例如 中 国 。 对 于 允许 目 行 提出 证 据 的 国家 ,电子 数据 作为 证 据 是 至 无 疑问 的 。 对 于 明 


中 http:/ /federalevidence. com/downloads/rules. of. evidence. pdf 


1995 年 制定 的 (民事 证 据 法 》 取 请 传闻 规则 ,第 一 条 规定 “在 民事 诉讼 中 ,不 得 因为 证 据 是 传闻 而 于 以 排除 ”。 
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文 规定 证 据 的 国家 ,如 果 电 子 数据 不 包含 在 证 据 类 型 中 ,就 涉及 证 据 转 化 和 可 采 性 的 问题 。 
但 是 ,无 论 哪 种 证 据 法 形式 ,都 面临 大 电子 数据 的 证 明 力 和 审查 原则 的 问题 。 一 般 来 说 ,大 
陆 法 系 国 家 倾 问 提交 证 据 “ 原 件 ”, 而 电子 数据 的 虚拟 性 很 难 提供 原件 。 如 果 证 据 法 只 承认 
原件 作为 证 据 ,复制 件 不 作为 证 据 ,电子 数据 的 证 据 效 力 将 大 打折 扣 。 

我 国 属 于 大 陆 法 系 , 并 不 存在 英美 判例 法 国家 由 判例 中 长 期 以 来 形成 的 例如 “最 优 证 据 
规则 ”与 “传闻 规则 ”的 束缚 ,长 期 没有 在 证 据 类 型 中 设立 “电子 数据 ”, 但 是 某 些 立 法 却 什 鉴 
了 英美 法 系 的 “最 优 证 据 规 则 ”, 给 电子 数据 作为 证 据 使 用 造成 一 定 的 障碍 。 例 如 2012 年 以 
前 ,最 高 人 民法 院 在 4 关于 执行 (中 华人 民 共 和 国 刑事 诉讼 法 ) 竺 干 问题 的 解释 》 规 定 “ 收 集 、 
调 取 的 书证 应 当 是 原件 ”和 “收集 、 调 取 的 物证 应 当 是 原 物 ”。 这 实际 将 电子 数据 书证 化 和 物 


证 化 ,或 者 归 于 视听 贤 料 中 ,阻碍 了 电子 数据 作为 证 据 在 侦查 、 诉 讼 中 的 使 用 。 将 电 了 于 数据 


归于 其 他 证 据 中 ,不 但 会 有 “原件 与 副本 “年 接 证 据 与 间接 证 据 *"“ 文 书 化 与 虚拟 化 ”等 方 
面 冲突 ,而 且 也 不 利于 电子 数据 作为 证 据 在 司法 诉讼 中 的 应 用 。 

随 者 4 中 华人 民 共 和 国 刑事 诉讼 法 》《 中 华人 民 共 和 国民 事 诉 讼 法 》 和 《中 华人 民 共 和 国 
行政 诉讼 法 》 的 改版 《中华 人民 共和 国 刑事 诉讼 法 ) 第 四 十 八条 第 八 球 《中 华人 民 共 和 国 
行政 诉讼 法 ) 第 三 十 三 条 中 华人 民 共 和 国民 事 诉讼 法 ) 第 六 十 三 条 第 五 球 均 规定 “电子 数 
据 ” 作 为 证 据 类 型 之 一 。 从 而 以 三 大 法 明文 规定 的 形式 确定 了 “电子 数据 ”的 法 律 证 据 地 位 ，。 


3.2 我 国 天 于 电子 数据 的 相关 立法 


随 看 我 国信 息 安 全 意识 的 提高 和 司法 进步 ,国家 出 侣 了 一 系列 的 涉及 电 了 于 数据 的 法 律 
法 规 。 这 些 法 律 法 规 为 打击 网 络 犯罪 ,维护 国家 安全 和 公民 权益 提供 了 重要 的 法 律 文 持 。 


3.2.1 法 律 


1.《 中 华人 民 共 和 国 刑事 诉讼 法 ) 第 四 十 八条 ;可 以 用 于 证 明 案 件 事实 的 材料 ,都 是 
证 据 。 

证 据 包 括 : 

(一 ) 物证 ; 

(二 ) 书证 ; 

(三 ) 证 人 证 言 ; 

(四 ) 被 害 人 陈述 ; 

(五 ) 犯罪 嫌疑 人 被告 人 供述 和 办 解 ，; 

(六 ) 鉴定 意见 ; 

(七 ) 勘 验 检查 ,辨认 、 俩 查实 验 等 笔录 ; 

(和 八 ) 视听 资料 ,电子 数据 。 

证 据 必 须 经 过 查证 属实 ,才能 作为 定案 的 根据 。 
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2.《 中 华人 民 共 和 国 行政 诉讼 法 ?第 三 十 三 条 证 据 包 括 : 
(一 ) 书证 ; 

(二 ) 物证 ; 

三 ) 视听 资料 ，; 

(四 ) 电子 数据 ; 

(五 ) 证 人 证 言 ; 

(六 ) 当事人 的 陈述 ; 

(七 ) 鉴定 意见 ; 

( 八 ) 期 验 笔 录 、 现 场 笔录 。 

以 上 证 据 经 法 庭审 查 属 实 ,才能 作为 认定 和 案件 事实 的 根据 。 
3.《 中 华人 民 共 和 国民 事 诉 讼 法 ?第 六 十 三 条 证 据 包 括 : 
(一 ) 当事人 的 陈述 ; 

(二 ) 书证 ; 

(三 ) 物证 ; 

(四 ) 视听 资料 ; 

(五 ) 电子 数据 ; 

(六 ) 证 人 证 言 ; 

(七 ) 鉴定 意见 ; 

( 八 ) 勘 验 笔录 。 

证 据 必 须 查证 属实 ,才能 作为 认定 事实 的 根据 。 


3.2.2 司法 解释 


最 高 人 民法 院 制定 并 发 布 的 司法 解释 ,具有 法 律 效力 。 最 高 人 民法 院 进 行 司法 解释 的 
依据 是 全 国人 民 代 表 大 会 常务 委员 会 于 1981 年 6 月 10 日 做 出 的 《关于 加 强 法 律 解释 工作 
的 决议 》, 该 决议 规定 :“ 凡 关于 法 律 法令 条 文本 喘 需 要 进一步 明确 界限 或 作 补 充 规定 的 ， 
由 全 国人 民 代 表 大 会 常务 委员 会 进行 解释 或 用 法 令 加 以 规定 。 凡 属于 法 院 审 判 工作 中 有 具体 
应 用 法 律 ,法令 的 问题 ,由 最 高 人 民法 院 进 行 解释 。 凡 属于 检察 院 检 察 工 作 中 具体 应 用 法 
律 ,法令 的 问题 ,由 最 高 人 民 检 察 院 进行 解释 ,” 基 于 该 决议 ,最 高 人 民法 院 于 1997 年 发 布 了 
法 发 (1997)15 号 《关于 司法 解释 工作 的 若干 规定 》( 以 下 简称 《若干 规定 》) ,进一步 明确 了 司 
法 解释 的 性 质 、 效 力 ,分 类 和 程序 。 关 于 电子 数据 的 司法 解释 主要 有 以 下 部 分 : 
。 最 高 人 民法 院 《 关 于 审理 非法 出 版 物 刊 刑事 案件 具体 应 用 法 律 奋 干 问 题 的 解释 》 
(1998 年 12 月 17 日 ,法 释 L1998]30 号 ) ,简称 人 《非法 出 版 物 犯 罪 解释 》。 

。 最 高 人 民法 院 《 关 于 审理 走私 刑事 案件 具体 应 用 法 律 在 干 问 题 的 解释 》2000 年 9 月 
26 日 ,法 释 [2000]30 号 ) ,简称 《走私 犯罪 解释 》。 

。 最 高 人 民法 院 、 最 高 人 民 检 察 院 《关于 办 理 利用 互联 网 、 移 动 通讯 终端 .声讯台 制 作 、 
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复制 .出 版 ,贩卖 ,传播 泽 秘 电子 信息 刑事 案件 具体 应 用 法 律 硅 干 问题 的 解释 》(2004 
年 9 月 3 日 ,法 释 L2004j11 号 ) ,简称 《淫秽 电子 信息 犯罪 解释 》。 

最 高 人 民法 院 、 最 高 人 民 检 察 院 《关于 办 理 妨 害 信 用 卡 管理 刑事 案件 具体 应 用 法 律 
右 干 问题 的 解释 让 2009 年 12 月 3 日 ,法 释 L2009j」19 号 ) ,简称 4 妨害 信用 卡 管理 犯 
徘 解释 》。 

最 高 人 民法 院 、 最 高 人 民 检 察 院 《关于 办 理 利 用 互联 网 、 移 动 通讯 终端 .声讯 台 制 作 、 
复制 .出 版 ,贩卖 .传播 淫 秽 电子 信息 刑事 案件 具体 应 用 法 律 知 干 问 题 的 解释 (二 )》 
(2010 年 2 月 2 日 ,法 释 [2010j]3 号 ) ,简称 《淫秽 电子 信息 犯罪 解释 (二 )》。 

最 高 人 民法 院 、 最 高 人 民 检 察 院 ( 关 于 办 理 诈 骗 刑事 案件 具体 应 用 法 律 阁 干 问题 的 
解释 》(2011 年 3 月 1 日 ,法 释 L2011j7 号 ), 简 称 《 诈 骗 罪 解释 》。 

最 高 人 民法 院 、 最 高 人 民 检 察 院 4 关于 办 理 危 害 计 算 机 信息 系统 安全 刑事 案件 具体 
应 用 法 律 若干 问题 的 解释 》(2011 年 8 月 1 日 ,法 释 [2011]19 号 ) ,简称 《危害 计算 机 
信息 系统 安全 犯罪 解释 》。 

最 高 人 民法 院 《 关 于 适用 (中 华人 民 共 和 国 刑事 诉讼 法 > 的 解释 》(2012 年 12 月 20 
日 ,法 释 L2012j21 号 ) ,简称 4 刑事 诉讼 法 解释 》。 

最 高 人 民法 院 、 最 高 人 民 检 察 院 ( 关 于 办 理 盗 甸 刑 事 案件 具体 应 用 法 律 阁 干 问题 的 
解释 》(2013 年 4 月 2 日 ,法 释 [20131]8 号 ) ,简称 《盗窃 罪 解 释 》。 


3.2.3 规范 性 文件 


最 高 人 民法 院 、 最 高 人 民 检 察 院 、 公安 部 .国家 安全 部 、 司 法 部 4 关于 办 理 死 刑 案件 审 
查 判 断 证 据 若 干 问题 的 规定 》(2010 年 6 月 13 日 ,法 发 L2010]20 号 ) ,简称 《证 据 审 
查 判 断 规定 》。 

最 高 人 民法 院 、 最 高 人 民 检 察 院 .公安 部 .国家 安全 部 .司法 部 4 关于 办 理 刑 事 和 案件 排 
除非 法 证 据 若 干 问 题 的 规定 》(2010 年 6 月 13 日 ,法 发 [2010]20 号 ) ,简称 4 非法 证 
据 排 除 规定 》。 

最 高 人 民法 院 、 最 高 人 民 检 察 院 `. 公 安 部 4 关于 办 理 网 络 赌博 犯罪 案件 适用 法 律 知 干 
问题 的 意见 》(2010 年 9 月 15 日 , 公 通 字 [2010140 号 ) ,简称 人 4 网络 财 博 犯 菲 意 见 》。 
《关于 办 理 流 动 性 团伙 性 器 区 域 性 犯罪 案件 有 关 问 题 的 意见 》( 公 通 字 [2011]14 号 ) 
(2011 年 1 月 1 日 , 公 通 字 L2011j14 号 ), 俐 称 《 流 动 性 团伙 性 跨 区 域 性 犯罪 意见 》。 
最 高 人 民法 院 、 最 高 人 民 检 察 院 、 公 安 部 《关于 办 理 侵 犯 知识 产权 刑事 案件 适用 法 律 
硅 十 问题 的 意见 》(2011 年 1 月 10 日 ,法 发 [20111]3 写 ), 人 简称 《侵犯 各 识 产 权 犯 罪 
最 高 人 民法 院 、 最 高 人 民 检 察 院 、 公 安 部 《关于 依法 惩处 侵害 公民 个 人 信息 犯罪 活动 
的 通知 兴 2013 年 4 月 23 日 , 公 通 字 [L2013j12 号 ) ,简称 4 惩处 侵害 公民 个 人 信息 犯 
罪 通知 》。 
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最 高 人 民法 院 、 最 高 人 民 检 察 院 、 公 安 部 《关于 办 理 组织 领 导 传销 活动 刑事 案件 适用 
法 律 若干 问题 的 意见 》(2013 年 11 月 11 日 , 公 通 字 [2013]37 号 ) ,简称 《4 组 织 领 导 传 
销 活动 刑事 案件 意见 》。 

最 高 人 民法 院 、 最 高 人 民 检 察 院 ` 公 安 部 《关于 办 理 非 法 集资 刑事 案件 适用 法 律 奉 干 
问题 的 意见 》(2014 年 3 月 25 日 , 公 通 字 [L2014j16 号 ) ,简称 《非法 集资 刑事 案件 意 
网 少 。 

最 高 人 民法 院 、 最 高 人 民 检 察 院 .公安 部 4 关于 办 理 网 络 犯罪 案件 适用 刑事 诉讼 程序 
右 干 问 题 的 意见 2014 年 5 月 4 日 , 公 通 字 [2014110 号 ), 人 简称 《网 络 犯 罪刑 事 诉讼 
程序 意见 》。 


3.3 ” 部门 和 行业 对 于 电子 数据 的 相关 规定 


最 高 人 民 检 察 院 《人民 检察 院 电子 证 据 鉴定 程序 规则 (试行 )》(2009 年 4 月 )。 

国家 工商 总 局 《关于 工商 行政 管理 机 关 电 子 数据 证 据 取证 工作 的 指导 意见 兴工 商 市 
字 [2011]248 号 ) 。 

国家 税务 总 局 关于 贯彻 《中 华人 民 共 和 国税 收 征收 管理 法 》 及 其 实施 细则 硅 干 具体 
问题 的 通知 (国税 发 [L2003]47 号 )。 

《海关 稽查 操作 规程 兴 署 调 发 2003[142] 号 )。 

《中 华 律 师 协 会 律师 办 理 电子 数据 证 据 业 务 操作 指引 》。 


3.4 电子 数据 与 其 他 证 据 的 区 别 


长 期 以 来 ,由 于 电子 数据 没有 成 为 独立 的 证 据 类 型 。 电 子 数据 被 视 为 1996 年 刑事 诉讼 
法 七 类 证 据 的 电子 数据 化 ,因此 在 司法 实践 中 电子 数据 往往 向 其 他 证 据 类 型 转化 使 用 ,其 至 
锌 混 消 。2013 年 刑事 诉讼 法 将 电子 数据 列 为 证 据 类 型 之 一 ,符合 信息 社会 的 发 展 趋 执 和 司 
法 进步 。 如 末 现 在 还 将 电子 数据 转化 为 其 他 证 据 使 用 , 既 不 利于 电子 数据 的 司法 实践 ,也 不 
利于 国家 的 法 制 进步 和 公平 正义 。 因 此 有 必要 区 分 电子 数据 与 其 他 证 据 类 型 的 区 别 和 


3.4.1 电子 数据 与 视听 资料 的 区 别 


视听 资料 是 指 以 “以 录音 磁带 ,录像带 光盘、 电影 胶片 或 其 他 设备 存储 的 作为 证 明 案 件 
事实 的 音像 .影像 和 图 形 ”, 又 称 为 “ 声 像 资料 ”。 传 统 理论 有 一 种 观点 认为 电子 数据 应 当归 
于 视听 资料 中 。 因 为 在 数字 化 时 代 , 模 拟 形式 的 视听 资料 已 经 逐渐 被 数字 形式 的 视听 资料 
所 取代 。 同 时 数字 形式 的 视听 资料 与 电子 数据 在 存在 形式 上 类 似 ,存储 的 视听 资料 和 电子 
数据 均 需要 一 定 的 工具 和 手段 转化 为 其 他 形式 后 为 人 们 直接 感知 。 二 者 的 正本 与 副本 均一 
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致 。1996 年 刑事 诉讼 法 中 只 规定 了 “视听 资料 ”作为 证 据 类 型 ,并 未 规定 “电子 数据 ”, 因 此 
很 长 一 段 时 间 内 ,“ 电 子 数据 ”是 被 视 为 “视听 资料 ”来 作为 证 据 使 用 的 。 

但 是 电子 数据 与 视听 资料 二 者 是 有 着 本 质 区 别 的 。 一 是 电子 数据 范围 更 广 ,不 但 包含 
了 视听 资料 的 一 部 分 ,还 涵盖 网 络 数 据 、 文 本 数据 等 诸多 范围 。 二 是 视听 资料 一 般 是 进行 真 
实 性 鉴定 ,使 用 的 方法 手段 与 电子 数据 有 较 大 区 别 。 例 如 声 纹 鉴定 ,是 将 录音 回放 或 者 分 析 
来 确定 真 伪 ,电子 数据 鉴定 则 针对 声音 的 元 数据 进行 分 析 。 根 据 最 高 人 民法 院 关 于 适用 (中 华 
人 民 共 和 国民 事 诉讼 法 ) 的 解释 第 一 百 一 十 六 条 规定 “视听 资料 包括 录音 资料 和 影像 资料 …… 
存储 在 电子 介质 中 的 录音 资料 和 影像 资料 ,适用 电子 数据 的 规定 .” 不 但 将 视听 资料 与 电子 
数据 分 离 , 而 且 还 规定 了 电子 数据 适用 的 范围 


3.4.2 电子 数据 与 物证 的 区 别 


物证 是 指 “外 部 特征 、 物 质 属性 和 存在 情况 等 能 够 证 明 案件 真实 情况 的 物品 和 痕迹 ”。 
物证 因 其 客观 存在 的 大 小 .数量 .颜色 .新旧 等 外 部 特征 具有 可 靠 性 ; 因 其 质量 、 重 量 、 材 料 、 
成 分 、 结 构 等 物质 属性 具有 较 强 的 稳定 性 ; 因 其 存在 的 空间 .时 间 等 物质 的 存在 方式 证 明 案 
件 事实 。 电 子 数据 与 物证 是 截然 不 同 的 两 种 证 据 形 式 。 这 是 因为 ; 

(1) 从 特点 上 看 ,传统 物证 具备 物质 属性 ,包括 法 医 物证 ,微量 物证 ,文书 物证 等 。 他 们 
的 存在 形式 都 是 有 形 的 ,是 物理 存在 的 。 但 是 电子 数据 是 使 用 “0、1” 的 数字 形式 存储 的 ,看 
不 见 . 摸 不 到 ,不 能 等 同 于 以 外 观 形式 分 类 的 传统 物证 。“ 电 子 物证 ”是 相对 传统 物证 提出 来 
的 一 个 概念 ,广泛 为 刑侦 部 门 采用 。 过 多 使 用 这 个 称呼 ,会 导致 执法 人 员 对 其 概念 的 理解 错 
误 ,不 能 理解 其 本 质 意义 。 

(2) 从 法 律 规定 上 看 ,根据 (中 华人 民 共 和 国 刑事 诉讼 法 》《 中 华人 民 共 和 国民 事 诉 讼 
法 )《 中 华人 民 共和 国 行政 诉讼 法 》, 物 证 与 电子 数据 是 两 种 不 同形 式 的 证 据 ,不 能 混 为 一 
谈 ; 最 高 人 民法 院 在 (关于 执行 (中 华人 民 共 和 国 刑事 诉讼 法 ) 若 干 问 题 的 解释 ) 第 七 十 条 规 
定 “ 收 集 、 调 取 的 物证 应 当 是 原 物 ”, 而 电子 数据 规定 允许 提取 复制 。 这 就 从 实质 上 证 明 电 子 
数据 和 传统 物证 是 两 种 不 同 的 证 据 形式 ,在 取证 中 也 需要 根据 各 自 特点 进行 有 针对 性 的 
工作 。 


3.4.3 电子 数据 与 书证 的 区 别 


书证 古 “ 以 文字 、 符 号、 图 男 等 记载 的 内 容 和 表达 的 思想 来 证 明和 案件 事实 的 书面 或 其 他 
形式 的 文件 ”。 任 何 书证 , 淮 要 信 助 一 定 的 物质 材料 而 存在 ,例如 纸张 \ 布 帅 、 竹 木 等 。 

电子 数据 由 于 其 虚拟 性 ,可 以 通过 专用 设备 于 以 呈现 ,或 者 以 勘 验 笔录 或 者 鉴定 意见 呈 
现 其 天 联 性 。 实 践 中 ,也 往往 以 书证 的 形式 出 现 , 这 分 为 两 种 可 能 ,一 种 可 能 古 数 据 在 认可 
汇 围 内 打印 软 出 ,一 种 是 将 电子 数据 转化 为 书证 ,侦查 人 员 为 了 能 够 快速 固定 证 据 , 将 电子 
数据 打印 出 来 让 嫌疑 人 签字 。 认 为 电子 数据 作为 书证 的 观点 ,是 伟 鉴 英美 法 系 相 关 法 律 的 
基础 上 得 来 的 。 但 是 作为 大 陆 法 系 国 家 ,我 国 已 经 从 法 律 层 面 上 规定 了 电子 数据 是 单独 的 
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证 据 类 型 。 而 且 从 电子 数据 的 本 奈 来 看 ,其 与 书证 有 看 截然 不 同 的 特点 和 取证 方法 ,应 当 是 
单独 的 证 据 形 式 。 

(1) 存在 形式 上 ,书证 是 物理 展示 , 电 了 于 数据 是 虚拟 和 存在。 书证 具有 物质 性 ,一 般 为 纸 
张 , 也 有 其 他 形 仿 ,其 内 容 明确 ,形式 固定 ,稳定 性 较 蝇 。 电 子 数 据 因 其 虚拟 特点 ,输出 的 便 
找 贝 往往 不 能 体现 其 所 有 的 内 容 。 例 如 ,对 于 Word 电子 文档 ,电子 数据 的 分 析 不 但 要 分 析 
内 容 ,还 要 分 析 其 元 数据 ,比如 修改 时 间 .打印 时 间 修改 次 数 。 这 都 是 隐藏 的 无 法 显示 的 重 
要 的 信息 。 如 采 转 化 为 书证 ,会 造成 大 量 数据 于 失 。 

(2) 法 律 规 定 上 ,最 局 人 民法 院 在 4 关于 执行 (中 华人 民 共 和 国 刑事 诉讼 法 符 干 问题 的 
解释 ) 第 七 十 一 条 规定 “收集 、 调 取 的 书证 应 当 是 原件 ”, 这 束 将 书证 限制 到 “原件 "原则 ,这 一 
点 与 英美 法 系 一 致 。 而 “电子 数据 可 以 提取 、 复 制 ”, 这 吏 说 明 电子 数据 是 与 书证 稚 然 不 同 的 
证 据 形 式 。 

将 电子 效 据 转 化 为 书证 ,往往 缺乏 监管 的 ,有 些 操作 人 员 不 具备 相应 电子 数据 专业 取证 
知识 。 最 局 人 民法 院 在 4 关于 执行 * 中 华人 民 共 和 国 刑事 诉 诊 法” 震 干 问题 的 解释 ?第 九 十 三 
条 规定 ,“ 提 取 、 复 制 电 子 数据 是 否 由 二 人 以 上 进行 ,是 否 足 以 保证 电子 数据 的 完整 性 ,有 无 
提取 复制 过 程 及 原始 存储 介质 存放 地 点 的 文字 说 明和 签名 ”。 这 些 要 求 在 电子 数据 转化 为 
书证 时 往往 不 被 遵守 ,电子 数据 在 转化 过 程 中 丢失 或 被 萎 改 , 叶 致 其 转化 的 书证 和 原始 电子 


3.4.4 电子 数据 与 勘 验 、 检 查 忽 录 的 关系 与 区 别 


在 电子 数据 取证 的 实际 应 用 中 ,电子 数据 有 时 以 勘 验 检查 笔录 的 形式 出 现 。 这 种 情况 
出 现 的 育 景 是 ,1996 年 刑事 诉讼 法 中 并 未 将 电子 数据 作为 证 据 的 种 类 。 这 在 司法 实践 中 对 
当时 达 动 发 展 的 电子 数据 的 运用 产生 了 两 难 境地 ; 一 方面 ,根据 刑 诉 法 的 要 求 ,一 切 可 以 证 
明和 案件 事实 的 材料 都 是 证 据 ,与 案件 相关 的 电子 数据 上 月 然 属 于 证 据 的 范畴 ; 为 一 方面 ,作为 
大 陆 法 系 国家 明文 规定 证 据 类 型 的 我 国 ,1996 年 刑 诉 法 又 将 证 据 限 定 为 七 种 ,并 未 涉及 电 
于 数据 ,又 导致 电 子 数据 的 应 用 无 法 律 依据 。 面 对 这 一 局 面 ,司法 实践 中 采取 了 两 类 权宜 之 
计 : 一 类 是 在 规范 性 文件 中 将 电子 数据 作为 证 据 类 型 ,侧面 的 对 刑事 诉讼 法 加 以 补充 。 例 
如 最 局 人 民法 院 、 最 局 人 民 检 察 院 . 公 安 部 .国家 安全 部 和 司法 部 联合 制定 4 关于 办 理 死 刑 索 
件 审查 判断 证 据 奉 干 问题 的 规定 》 的 第 二 十 九条 中 规定 :“ 对 于 电子 邮件 .电子 数据 交换 、 网 
上 聊天 记录 网络 博客 .手机 短信 ,电子 签名 、 域 名 等 电子 证 据 , 应 当 审 查 ”。 为 一 类 是 将 电子 
数据 转化 为 法 定 证 据 类 型 予以 使 用 ,例如 勘 验 、 检 查 笔录 。 最 高 人 民法 院 、 最 高 人 民 检 察 院 、 
公安 部 《关于 办 理 网 络 赌博 犯罪 案件 适用 法 律 若 干 问 题 的 意见 光 在 “关于 电子 证 据 的 收集 
和 保全 ”规定 :“ 侦 查 机 关 对 于 能 够 证 明 赠 博 犯 非 案件 真实 情 次 的 网 站 页 面 、 上 网 记录 .电子 
邮件 .电子 合同 .电子 交易 记录 、 电子 账 册 等 电子 数据 ,应当 作为 刑事 证 据 子 以 提取 、 复 制 、 固 
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定 。 侦 查 人 员 应 当 对 提取 、 复 制 . 固 定 电子 数据 的 过 程 制作 相关 文字 说 明 , 记 录 案 由 、 对象、 
内 容 以 及 提取 ,复制 、 固 定 的 时 间 、 地 点 、 方 法 ,电子 数据 的 规格 .类别 、 文 件 格式 等 ,并 由 所 
取 、 复 制 . 固 定 电 了 于 数据 的 制作 人 、 电 子 数据 的 持 有 人 签名 或 者 亩 划 , 附 所 提取 、 复 制 、 固 定 的 
电子 数据 一 并 随 委 移送 。” 从 这 一 规定 可 以 看 出 ,该 规范 性 文件 实际 上 是 要 求 将 电子 数据 按 
照 勘 验 检查 笔录 这 一 法 定 证 据 类 型 进行 提取 和 转换 的 。 

但 是 ,在 2013 版 《刑事 诉讼 法 ) 中 ,电子 数据 已 经 成 为 证 据 类 型 之 一 。 与 勘 验 、 检 查 笔录 
并列 为 有 效 证 据 。 同 时 在 实践 中 , 勘 验 、 检 查 笔录 与 电子 数据 还 是 有 一 定 区 别 的 。 勘 验 、 检 
查 笔录 一 般 是 如 实 陈述 现场 或 者 封存 物品 的 状态 、 将 电子 数据 以 笔录 的 形式 记录 在 条 ,虚拟 
的 电子 数据 被 物理 化 ,并 不 能 完整 体现 电子 数据 的 完整 信息 ,因此 其 证 明 力 也 大 打折 扣 ; 同 
时 《刑事 诉讼 法 解释 》 也 同时 规定 “所 提取 、 复 制 、 规 定 的 电子 数据 一 并 随 委 移送 ”。 这 是 和 从 合 
现行 的 司法 实践 中 ,要 求 电 子 数据 具有 完整 性 和 唯一 性 ,并 可 以 在 法 胜 上 呈现 的 实际 害 求 。 
这 部 是 勘 验 \ 检 查 笔录 所 不 具备 的 。 因 此 要 元 分 注意 到 电子 数据 的 “虚拟 性 ”, 不 能 够 侧 单 地 
用 勘 验 \ 检 查 笔录 或 者 其 他 证 据 类 型 来 完全 代 巷 电子 数据 ,以 锡 影 啊 和 案件 侦查 和 诉讼 过 程 。 


3.5 电子 数据 审查 


在 刑事 案件 中 ,电子 数据 如 要 作为 证 据 使 用 ,必须 符合 刑事 证 据 的 三 个 基本 特征 , 即 证 
据 的 真实 性 .关联 性 和 合法 性 。 巾 于 电子 数据 与 传统 证 据 的 实物 性 或 者 言词 性 不 同 , 具 有 虐 
拟 性 .隐藏 性 和 易 算 改 等 特性 ,检察 和 审判 人 员 必 然 审 查 电 子 数 据 的 来 源 .电子 数据 的 收集 
是 否 合法 ,公安 机 关 是 否 采 用 了 符合 电子 数据 特性 的 技术 手段 收集 ,电子 数据 的 内 容 有 无 被 
破坏 .是 否 真实 等 。 为 保障 刑事 案件 的 采信 率 , 公 安 机 关 必 须 正 确 理解 电子 数据 审查 的 
标准 。 

2010 年 5 月 30 日 ,最 高 人 民法 院 、 最 高 人 民 检 察 院 ` 公 安 部 、 司 法 部 、 国 家 安全 部 联合 
颁布 『《 关 于 办 理 死 刑 案件 审查 判断 证 据 竺 干 问 题 的 规定 》, 该 规定 首次 专门 条 款 确定 了 电 
了 于 数据 的 运用 规则 。 其 第 二 十 九条 规定 “对 于 电子 邮件 .电子 数据 交换 、 网 上 聊天 记录 、 网 络 
博客 .手机 短信 电子 签名 .域名 等 电子 证 据 , 应 当主 要 审查 以 下 内 容 : 一) 该 电子 证 据 存储 
人 硬盘、 存储 光盘 等 可 移动 存储 介质 是 否 与 打印 件 一 并 提交 ; (二 ) 是 否 载 明 该 电子 证 据 形 成 
的 时 间 、 地 点 、 对 和 象 、 制 作 人 、 制 作 过 程 及 设备 情况 等 ; (三) 制作、 储存 ,传递 获得、 收集 、 出 
示 等 程序 和 环 市 是 否 合法 ,取证 人 ,制作 人 , 挂 有 人 、 见 证 人 等 是 否 签名 或 者 盖 章 ;( 四 ) 内 容 
是 否 真 实 , 有 无 剪裁 、 拼 次、 贷 改 .添加 等 伪造 、 变 造 情形 ; (五 ) 该 电子 证 据 与 案件 事实 有 无 
关联 性 。 对 电子 证 据 有 疑问 的 ,应 当 进 行 鉴定 。 对 电子 证 据 , 应 当 结 合 案件 其 他 证 据 ,审查 
其 真实 性 和 关联 性 。” 

2013 年 1 月 1 日 起 施行 的 (最 高 人 民法 院 关 于 适用 (中 华人 民 共 和 国 刑事 诉讼 法 ) 的 解 
释 》 第 93 条 详细 前 述 了 对 电子 邮件 .电子 数据 交换 .网 上 聊天 记录 .博客 . 微 博 客 .手机 短信 、 
电子 签名 .域名 等 电子 数据 ,应 从 五 个 方面 进行 真实 性 .完整 性 等 的 审查 : 一) 是否 随 原始 
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存储 介质 移送 ; 在 原始 存储 介质 无 法 封存 .不 便 移动 或 者 依法 应 当 由 有 关 部 门 保管 .处 理 、 
返还 时 ,提取 ,复制 电子 数据 是 否 由 二 人 以 上 进行 ,是 否 足以 保证 电子 数据 的 完整 性 ,有 无 提 
取 、 复 制 过 程 及 原始 存储 介质 存放 地 点 的 文字 说 明和 签名 ; (二 ) 收 集 程序 方式 是 否 符合 法 
律 及 有 关 技术 规范 ; 经 勘 验 .搜查 等 侦查 活动 收集 的 电子 数据 ,是 否 附 有 笔录 、 清 单 , 并 经 侦 
查 人 员 .电子 数据 持 有 人 、 见 证 人 签名 ; 没有 持 有 人 签名 的 ,是 否 注 明 原因 ; 远程 调 取 境外 
或 者 异地 的 电子 数据 的 ,是 否 注 明 相关 情况 ; 对 电子 数据 的 规格 、 类 别 、 文 件 格式 等 注 明 是 
否 清楚 ; (三 ) 电 子 数据 内 容 是 否 真实 ,有 无 删除 .修改 .增加 等 情形 ; (四 ) 电 子 数据 与 案件 
事实 有 无 关联 ; (五 ) 与 案件 事实 有 关联 的 电子 数据 是 否 全 面 收集 。 对 电子 数据 有 疑问 的 ， 
应 当 进 行 鉴定 或 者 检验 。 

刑 诉 法 解释 第 93 条 在 五 部 委 ( 关 于 办 理 死刑 案件 审查 判断 证 据 若干 问题 的 规定 ) 第 29 
条 规定 的 基础 上 ,对 电子 数据 的 审查 判断 作 了 进一步 修改 完善 0。 

(1) 不 存在 “原始 电子 数据 ”的 概念 。 与 传统 证 据 种 类 不 同 ,电子 数据 没有 “原始 电子 数 
据 ” 的 概念 ,只 有 “原始 存储 介质 ”的 概念 。 由 于 电子 数据 的 电子 性 ,电子 数据 不 同 于 物证 , 书 
证 等 其 他 证 据 种 类 ,其 可 以 完全 同 原始 存储 介质 分 离开 来 。 例 如 ,存储 于 计算 机 中 电子 文 
档 , 可 以 同 计算 机 这 一 存储 介质 分 开 来 ,存储 于 移动 硬盘 、U 盘 等 存储 介质 之 中 。 而 且 , 对 
电子 数据 的 复制 可 以 确保 与 原 数 据 的 完全 一 致 性 ,复制 后 的 电子 数据 与 原 数据 没有 任何 差 
异 。 与 此 不 同 ,物证 .书证 等 证 据 无 法 同 原始 存储 介质 完全 区 分 开 来 ,更 无 法 采取 确保 与 原 
物 .原件 完全 一 致 的 方式 予以 复制 。 例 如 ,一 封 作为 书证 使 用 的 书信 ,书信 的 原始 内 容 无 法 
同 原始 载体 完全 分 离开 来 ,只 能 存在 于 原始 的 纸张 这 一 载体 之 上 ,即使 采取 彩色 复印 等 方式 
进行 复制 ,也 无 法 确保 复制 后 的 书信 同 原件 的 完全 一 致 性 。 不 仅 物 证 ,书证 等 传统 证 据 如 
此 ,视听 资料 这 一 随 着 技术 发 展 而 兴起 的 新 型 证 据 亦 是 如 此 。 基 于 上 述 考虑 ,使 用 “原始 电 
子 数据 "这 个 概念 没有 任何 意义 ,对 于 电子 数据 而 言 ,不 存在 “原始 电子 数据 ”的 概念 。 但 是 ， 
电子 数据 原始 存储 介质 这 个 概念 是 有 意义 的 ,这 表明 电子 数据 是 存储 在 原始 的 介质 之 中 , 即 
取证 时 是 将 存储 介质 予以 扣押 ,并 作为 证 据 移送 ,而 非 运用 移动 存储 介质 将 该 电子 数据 从 原 
始 介质 中 提取 ,如 直接 从 现场 扣押 行为 人 使 用 的 电脑 。 因 此 ,可 以 将 电子 数据 区 分 为 电子 数 
据 是 随 原始 存储 介质 移送 ,还 是 在 无 法 移送 原始 存储 介质 的 情况 下 (如 大 型 服务 器 中 的 电子 
数据 ) 通 过 其 他 存储 介质 予以 收集 。 为 了 确保 随 原始 存储 介质 移送 的 电子 数据 的 真实 性 、 完 
整 性 ,针对 此 种 情形 ,审判 人 员 要 审查 电子 数据 随 原始 存储 介质 移送 的 ,是 否 采取 了 技术 措 
施 保证 原始 存储 介质 数据 的 完整 性 ,如 通过 加 只 读 锁 确 保 数 据 不 被 修改 ,应 当 审 查 侦查 机 关 
是 否 对 电子 数据 采取 记录 电子 数据 完整 性 校 验 值 等 方式 保证 电子 数据 的 完整 性 。 

(2) 远程 调 取 电 子 数据 的 问题 。 需 要 特别 注意 的 是 ,如 果 电 子 数据 位 于 境外 ,难以 通过 
国际 司法 协助 获取 相关 数据 ,通常 通过 远程 调 取 的 方式 获取 数据 。 而 且 , 即 使 在 国内 ,也 可 
能 在 个 别 案件 中 采取 异地 远程 调 取 电 子 数据 的 情况 。 此 种 情况 下 ,应当 注 明 相 关 情 况 。 审 
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判 人 员 应 当 根 据 注 明 的 情况 子 以 审查 ,判断 电子 数据 提取 过 程 的 合法 性 ,判断 所 提取 电子 数 
据 的 芮 实 性 和 完整 性 。 

(3) 电子 效 据 的 鉴定 和 检验 。 在 法 庭审 查 过 程 中 ,审判 人 员 应 当 通 过 听取 控 辩 双方 意 
见 . 询 问 相 关 人 员 等 多 种 方式 审查 电子 数据 的 内 容 和 制作 过 程 的 芮 实 性 ,必要 时 可 以 进行 寿 
外 调查 。 但 是 ,由 于 电子 数据 的 技术 性 较 强 ,一 般 的 删除 ,修改 增加 等 情形 难以 通过 审判 人 
员 的 观察 作出 认定 ,因此 , 刑 诉 法 解释 第 九 十 三 条 第 二 球 规 定 :“ 对 电子 数据 有 疑问 的 ,应 当 
进行 检验 或 者 鉴定 .” 这 里 的 检验 或 者 鉴定 ,主要 针对 的 是 计算 机 程序 功能 (如 计算 机 病毒 等 
破坏 性 程序 的 功能 ) 和 数据 同一 性 、 相 似 性 (如 侵权 和 案件 需要 认定 盗版 软件 与 正版 软件 的 同 
一 性 、 相 似 性 ) 的 问题 等 。 

刑 诉 法 解释 第 九 十 四 条 规定 :“ 电 子 数据 经 审查 无 法 确定 真 伪 , 或 者 制作 、 取 得 的 时 间 、 
地 点 、 方 式 等 有 疑问 ,不 能 提供 必要 证 明 或 者 作出 合理 解释 的 ,不 能 作为 定 邓 的 依据 。” 

民事 有 条件 中 ,主要 依据 《电子 签名 法 ) 来 审查 电子 数据 的 有 效 性 。《 电 子 签名 法 ) 第 八条 
规定 :“ 审 查 数 据 电 文 作为 证 据 的 夏 实 性 ,应 当 考 不 以 下 因 和 系 : (一 ) 生 成 .储存 或 者 传递 效 
据 电 文 方法 的 可 菲 性 ; (二 ) 保 持 内 容 完 整 性 方法 的 可 菲 性 ; (三 ) 用 以 鉴别 发 件 人 方法 的 可 
徘 性 ; (四 ) 其 他 相关 的 因 系 。” 这 一 规定 参照 了 联合 国 的 (电子 商务 示范 法 》 的 有 关 规 定 而 作 
出 的 。 检 验 电子 数据 还 需要 对 其 生成 过 程 、 存 储 \ 传 递 流程 以 及 相关 设备 的 情况 进行 审查 。 


3.6 国际 电子 数据 取证 的 标准 体系 


3.6.1 国际 电子 数据 取证 标准 体系 概述 


电子 数据 取证 的 结果 是 法 律 诉讼 活动 重要 的 证 据 。 对 电子 数据 取证 来 说 ,电子 数据 作 
为 证 据 使 用 有 两 个 必要 条 件 : 
。 可 复 现 性 。 可 复 现 性 指 的 是 运用 相同 的 方法 或 标准 重复 取证 ,得 出 的 绪论 一 致 。 包 
括 相 同人 员 的 重复 取证 或 不 同人 员 的 比 对 取证 ; 
。 可 回溯 性 。 利 用 相同 的 方法 或 标准 ,能 够 回溯 到 取证 的 各 个 环节 和 流程 ,确保 取证 
的 质量 值得 推敲 。 
因此 ,电子 数据 作为 证 据 使 用 ,必须 保证 输入 和 输出 稳定 可 靠 。 这 个 过 程 由 标准 或 指南 
来 保证 。 
1. 标准 
标准 ,是 为 了 在 一 定 范围 内 获得 最 佳 秩序 ,经 协商 一 致 制定 并 由 公认 机 构 批 准 ,共同 使 
用 的 和 重复 使 用 的 一 种 规范 性 文件 9。 
电子 数据 取证 程序 或 者 方法 的 技术 相关 标准 ,其 中 影响 较 大 的 主要 为 ISO 系列 。 如 


DD GB/T 20000. 1 一 2002¢ 标 准 化 工作 指南 第 1 部 分 : 标准 化 和 相关 活动 的 通用 词汇 》。 
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ISO/IEC 27000:20149 信息 安全 管理 体系 基础 和 术语 (Information security management 
system fundamentals and vocabulary)。 提 供 了 ISMS(Information Security Management 
System) 标 准 族 中 所 涉及 的 通用 术语 及 基本 原则 ,是 ISMS 标准 族 中 最 基础 的 标准 之 一 。 
ISMS 标准 族 中 的 每 个 标准 都 有 ” 术 霹 和 和 定义 ?部 分 ,但 不 同 标准 的 术语 间 往 往 缺 乏 协 调 性 ， 
而 ISO/IEC27000 则 主要 用 于 实现 这 种 协调 。 

2012 年 10 月 15 日 ,ISO 组 织 发 布 了 ISO/IEC 27037:2012 信息 技术 -安全 技术 -电子 证 
据 识 别 .收集 .获取 和 保存 指南 台 (Information technology-Security techniques-Guidelines 
for identification, collection, acquisition, and preservation of digital evidence) ,作为 ISO/ 
IEC 27000:2014 信息 安全 管理 体系 必要 的 模块 。ISO/IEC 27037:2012 标准 为 在 电子 数据 
处 置 中 的 特定 活动 提供 了 指责 ,包括 可 能 具有 证 据 价值 的 潜在 电子 数据 识别 ,收集 获取 和 
保存 。 此 标准 为 取证 人 员 提 供 整 个 电子 数据 处 理 过 程 中 遇见 的 和 常 见 情况 的 指南 ,协助 组 织 
处 理 他 们 的 纪律 处 分 程序 ,并 促进 不 同 司法 部 门 的 潜在 电子 数据 的 交换 。 这 个 标准 特别 是 
现场 勘 验 的 取证 环境 具有 极其 重要 的 参考 意义 ， 

标准 中 还 有 一 系列 对 电子 数据 取证 实验 室 进行 运行 管理 以 及 认证 认可 的 标准 程序 ,其 

影 吓 较 大 的 主要 是 ISO/IEC 17025《 检 测 和 校准 实验 室 能 力 的 通用 要 求 》(1SO/IEC 

17025:; 2005 General requirements for the competence of testing and calibration 
laboratories) ,是 国际 标准 化 组 织 和 国际 电工 委员 会 联合 发 布 的 国际 标准 ,是 全 球 通 用 的 
检测 和 校准 实验 室 质量 管理 标准 ,也 是 认可 机 构 实 施 认 可 的 基础 。 

2. 指南 

标准 制定 相对 严谨 ,因此 一 段 时 间 内 不 会 更 新 。 而 电 了 于 数据 取证 的 相关 技术 和 流程 却 
在 时 刻 变 化 之 中 。 因 此 国外 执法 部 门 以 "指南 ”(guide) 作 为 标准 的 展 好 补充 ,指责 可 以 看 作 
“ 准 标 准 ”。 

电子 数据 取证 的 相关 指南 西方 国家 起 步 较 早 ,制定 的 也 较为 频繁 。 主 要 是 规定 取证 方 
法 和 流程 的 操作 指南 ,例如 美国 国家 标准 与 技术 人 研究 院 (National Institute of Standards and 
Technology, NIST®) 的 系列 标准 集 , 其 中 较为 重要 的 有 《SP 800-101 Rev. 1 移动 设备 取证 
指南 》(Guidelines on Mobile Device Forensics®);《SP 800-86 应 急 响 应 中 取证 技术 应 用 指 
南 》(Guide to Integrating Forensic Techniques into Incident Response@) 。 美 国 司 法 部 发 布 
的 《现场 人 员 操 作 指 南 一 一 电子 犯罪 现场 调查 》(Electronic Crime Scene Investigation,， A 


http:/ /www. iso. org/iso/ home,/ store/catalogue_ tc/catalogue detail. htm? csnumber 一 63411 
http: //www. iso. org/iso/home,/ store/catalogue_ tc/catalogue detail. htm? csnumber 一 44381 


http: //www. iso. org/iso/homey/ store/catalogue_ tc/catalogue detail. htm? csnumber= 39883 
http://www. nist. gov/ 

http:/ /nvlpubs. nist. gov/nistpubs/ SpecialPublications/ NIST. SP. 800-101r]. pdf 

http:/ /csrce, nist. gov/ publications/nistpubs/800-86/SP800-86. pdf 
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guide for first responders 册 ) 《刑事 调查 中 的 搜索 .扣押 电脑 和 获取 电子 证 据 指 南 》 
(Searching and selzing computers and obtaining electronlc evidence in criminal 
investigations2) 互联 网 工程 任务 组 (IETF) 发 布 的 备忘录 人 《RFC-3227 电子 证 据 收 集 及 归档 
指南 》(Guidelines for _ evidence collection and archiving® ) 等 。 碳 国 首 席 警 官 协 会 
(Association of Chief Police Officers,ACPOSg) 发布 的 《基于 计算 机 的 电子 证 据 取 证 最 佳 实 


践 》(Good Practice for Computer-based Electronic Evidence) 。 
3.6.2 国际 电子 数据 取证 指南 简介 


对 于 电子 数据 取证 实际 应 用 ,指南 更 具备 指导 意义 。 通 过 了 解 西方 国家 的 取证 指南 ,不 
但 可 以 对 我 国 的 电子 数据 取证 工作 提供 指导 ,而 且 还 对 我 国 的 电子 数据 取证 的 相关 标准 和 
指 丙 的 制定 提供 便 鉴 。 

1. 国际 通行 的 指南 

国际 标准 化 委员 会 (ISO) 颁 布 的 ISO/IEC 27037;2012《 信 息 技术 -安全 技术 -电子 证 据 
识别 ,收集 、 获 取 和 保存 指南 )* 是 符合 国际 标准 的 取证 指南 。ISO/IEC27037 的 主要 内 容 不 
但 包括 电子 数据 的 科学 原则 与 理念 ,而 且 对 于 电子 数据 取证 中 的 各 类 检 材 的 取证 提供 了 具 
体 的 方法 与 技术 细节 ,其 内 容 涵盖 了 电子 数据 识别 ,收集 、 获 取 和 保存 的 完整 过 程 。 指 南 的 
主要 内 容 有 : 

(1) 对 于 电子 数据 而 言 , 该 指南 认为 可 审核 性 、 可 重复 性 、 可 再 现 性 、 正 当 性 是 很 重要 的 
四 大 原则 。 

。 可 审核 性 ,是 指 独 立 的 评测 人 或 其 他 授权 有 关 方 应 能 评估 电子 数据 取证 第 一 响应 人 
员 和 鉴定 专家 进行 的 活动 ,活动 被 记录 在 案 。 
可 重复 性 ,是 指 在 相同 的 条 件 下 ,使 用 相同 的 设备 产生 相同 的 结果 。 同 时 使 用 相同 
的 程序 和 方法 ,可 以 在 任意 时 候 重 复 , 则 会 产生 重复 性 : 一 个 拥有 熟练 技能 ,经验 丰 
富 的 电子 数据 取证 人 员 应 该 能 够 在 没有 指导 或 解释 下 ,通过 操作 记录 中 所 描述 的 所 
有 流程 ,得 出 同样 的 结果 ; 同时 应 注意 到 在 有 些 环境 下 ,结果 不 可 重复 ,例如 当 原 始 
鲁 盘 被 复制 后 返还 使 用 时 ,或 者 涉及 易 失 性 存储 器 的 资料 时 。 在 这 种 情况 下 ,取证 
人 员 应 确保 获取 过 程 是 可 靠 的 。 为 了 实现 可 重复 性 ,应 记录 所 有 操作 ，。 
。 可 青 现 性 ,是 指使 用 相同 的 方法 ,在 不 同 的 条 件 下 ,使 用 不 同 的 设备 ,产生 相同 的 结 

果 ,会 产生 可 再 现 性 。 

正当 性 ,是 指 电 子 数据 取证 人 员 应 能 证 明 处 理 潜在 电子 数据 的 所 有 行动 和 方法 正确 。 


http://www. ncjrs. gov/ pdffilesl /nij/219941. pdf 

http:/ www. justice. gov/criminal/ cybercrime, docs/ ssmanual2009. pdf 
http:/ /www. rfc-base. org/ rfc-3227. html 

已 经 改组 为 国家 警察 局 长 理事 会 (NPCC) 


http: //www. iso. org/iso/ home,/ store/catalogue_ tc/catalogue detail. htm? csnumber 一 44381 
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(2) 电子 数据 面 对 的 检 材 种 类 主要 有 以 下 几 类 : 

J 计算 机 设备 中 使 用 的 存储 介质 ,例如 便 盘 、 软 盘 、 光盘 及 类 似 功 能 的 数据 存储 设备 。 

移动 电话 .个 人 数字 助理 (PDA) .个 人 电子 设备 (PED) 存储 卡 。 

G) 移动 导航 系统 。 

数字 照相 或 录像 机 。 

有 网 络 连 接 的 计算 机 设备 。 

基于 TCP/IP 的 网 络 和 其 他 数字 协议 的 数据 ，。 

@ 有 上 述 功能 的 其 他 设备 。 

(3) 指 再 提出 了 在 进行 电子 数据 取证 时 ,执行 顺序 应 有 一 个 优先 级 的 思想 。 执 行 优先 
级 以 减少 潜在 电子 数据 被 损坏 的 风险 ,并 将 收集 的 电子 数据 的 证 据 价值 最 大 化 。 因 此 对 于 
取证 过 程 , 取 证 人 员 还 应 : 

J 记录 所 有 的 行动 。 

@ 为 了 确定 洲 在 电子 数据 副本 与 原始 证 据 相 比 的 准确 性 和 可 和 菲 性 ,确定 和 应 用 方法 。 

3) 认识 到 浴 在 电子 数据 的 保存 行动 不 能 总 是 非 侵 人 式 的 。 

2. 美国 制定 的 指南 

美国 执法 部 门 一 直 强 调 执法 人 员 应 对 犯罪 现场 的 能 力 。 因 此 执法 部 门 , 包 括 军 方 、 殴 方 
和 标准 化 部 门 ,部 积极 参与 到 电子 数据 取证 指南 的 制定 。 典 型 的 是 美国 司法 部 专门 编号 了 
《电子 犯罪 现场 调查 指南 》(US-DOJ-Electronic Crime Scene Investigation, A Guide for 
First Responders Second Edition2, 目 前 已 经 出 到 第 二 版 ,以 下 简称 指南 ) ,编写 这 个 指南 的 
目的 是 为 了 让 第 一 时 间 到 达 现 场 的 执法 人 员 能 有 效应 对 日 益 复 杂 的 犯罪 现场 电磁 环境 ,并 
按照 符合 法律 规范 的 要 求 进行 电子 数据 的 扣押 a 和 获取 。 根 据 反 您 类 案件 以 及 网 络 环境 的 已 
大 改变 和 复 洒 性 ,在 其 最 新 一 版 内 大 幅 增 加 了 对 现场 网 络 环 境 及 其 设备 ,应 用 进行 识别 收集 


获取 的 内 容 。 
该 指南 对 现 电 子 数据 取证 提出 了 三 条 通用 原则 ; 不 改变 原则 专业 训练 原则 ,证 据 监 督 
链 原 则 。 
。 不 改变 原则 ,是 指 应 确保 在 电子 数据 收集 .扣押 、 传 递 过 程 中 ,都 不 应 该 造成 电子 数 
据 证 物 的 改变 。 


”专业 训练 原则 ,是 指 对 电子 数据 证 物 从 收集 到 扣押 传送、 分 析 虱 应 该 由 受到 专业 训 
练 的 人 员 来 进行 。 
”证 据 监 督 链 原则 , 指 电子 数据 证 物 从 收集 到 扣押 上 ,传送 、 分 析 虱 应 该 有 完整 的 文档 记 
录 以 备 事后 查验 。 
这 三 条 原则 不 仅 适用 于 美国 的 法 律 体制 ,同样 对 我 们 开展 电子 数据 取证 工作 也 有 借鉴 
意义 。 


http:/ www. nij. gov/ publications/ Pages/publication-detail. aspx? ncjnumber 一 219941 
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对 于 现场 电子 数据 证 物 的 搜查 ,该 手册 提出 了 四 个 步骤 : 

(1) 辨认 确定、 封存 并 保护 犯罪 现场 中 的 电子 数据 ，; 

(2) 记录 整个 犯罪 现场 并 特别 注 明 电子 数据 发 现 的 位 置 ; 

(3) 集中 标记 电子 证 物 并 保存 电子 数据 ; 

(4) 以 安全 的 方式 包 衣 并 运输 电子 数据 。 

指南 的 第 一 革 对 常见 的 电子 数据 的 类 型 进行 了 还 一 描述 ,并 附 有 照片 ,便于 现场 执法 人 


员 对 照 识 别 , 对 每 一 类 证 物 可 能 包含 的 证 据 信息 。 特 别 是 对 每 类 证 据 需 要 注意 的 细 方 部 摘 
述 非 彰 详 细 。 比 如 对 移动 设备 ,其 手册 内 专门 提示 ,移动 设备 的 取证 需要 注意 以 下 三 点 : 


。 电池 耗 尽 可 能 会 导致 数据 丢失 。 

。 保持 开机 状态 有 可 能 会 导致 数据 丢失 或 删除 。 

。 手持 设备 可 能 会 被 远程 删除 或 者 锁定 。 因 此 ,执法 人 员 在 现场 应 尽 可 能 将 易于 失 数 

据 提 取保 存 。 

对 于 网 卡 .路 由 融 等 网 络 设备 ,该 指南 特别 提出 ,应 特别 关注 网 络 设备 的 MAC 地址 以 
及 设备 所 携带 的 存储 介质 上 所 可 能 含有 的 网 络 应 用 信息 。 

指南 的 第 二 音 列 出 了 电子 数据 现场 勘 验 应 准备 的 物品 清单 可 供 参 考 ; 第 三 草 摘 述 了 对 
现场 进行 保护 和 评 佑 的 方法 ,并 列 出 了 对 现场 人 员 的 询问 提纲 。 其 中 特别 提 到 要 注意 对 现 
场 电 子 设备 的 网 络 摄像 头 和 可 能 的 远程 连接 进行 评估 和 记录 ,对 于 在 线 已 经 登录 的 聊天 室 、 
即时 通讯 等 要 做 好 提取 和 固定 ; ong id 手册 的 
第 五 草 主 要 前 述 电 子 数 据 收 集 步 骤 。 该 章 的 体例 更 像 一 个 流程 图 ,根据 现场 遇 到 的 电子 数 
atest tonto eon iba 该 草 的 最 后 一 方 特别 提 到 ,如 果 明 到 复 洒 系 
统 环境 ,现场 执法 人 员 切 勿 轻易 关机 ; 手册 的 第 六 章 则 建立 了 电子 数据 的 包装 .运输 、 存 储 
的 程序 。 在 包装 的 程序 中 ,该 手册 特别 提 到 应 注意 不 要 污染 电子 数据 可 能 潜在 的 生物 证 据 
(如 指纹 .DNA 等 ); 第 七 章 则 针对 美国 常见 的 虐待 儿童 .人 侵 计 算 机 、 伪 造 、 死 亡 调查 .家庭 
骏 力 .电子 邮件 威胁 (骚扰 ) 绑架、 身份 偷 祝 、 采 醇 品 犯罪 网络 诈骗 、 卖 淫 、 资 版 .电信 诈骗 以 
和 的 丽 怖 主义 等 14 类 案件 的 搜查 重点 进行 了 阐述 。 不 同 的 案件 搜查 的 重点 

全 一 样 , 如 侃 怖 主义 案件 ,搜查 重点 专门 提 到 了 voip 语音 电话 及 GPS 设备 。 

综 上 记述 ,该 手册 内 容 小 显 却 紧 扣 实战 ,使 现场 人 员 即 使 不 熟悉 电子 取证 技术 也 能 借助 
手册 完成 工作 。 该 手册 的 写作 方法 和 内 容 值 得 国内 执法 人 员 借 鉴 。 

3. 英国 制定 的 指南 2 

英国 是 世界 上 最 重要 的 科技 强国 之 一 , 它 的 电子 数据 取证 标准 化 研究 也 是 仅 次 于 美国 。 
英国 的 指南 最 为 典型 的 是 英国 首席 警官 协会 (Association of Chief Police Officers， 


郭 弘 ,电子 数据 取证 标准 。 
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ACPOOS) 发 布 的 指南 ,这 是 最 经 典 的 电子 数据 取证 指南 之 一 。ACPO 是 一 个 非 营利 性 组 织 ， 
监管 英格兰 .威尔士 和 北 爱 尔 兰 的 警 务实 践 。 参 与 了 计算 机 证 据 国际 组 织 (IOCE) 的 计算 机 
取证 过 程 中 应 该 体 守 的 6 项 一 般 原 则 的 制定 。 为 使 实践 工作 能 符合 取证 的 原则 和 标准 ， 
ACPO 推出 的 《电子 数据 检查 的 最 佳 实 战 指 丙 》(Guidelines for Best Practice in the Forensic 
Examination of Digital Technology) 和 《电子 证 据 最 佳 操 作 指 南 》K《Good Practice Guide for 
Digital Evidence2》 等 多 个 指南 ,并 随 着 实践 工作 的 转变 而 新 增 、 人 和 修订 和 完善 指南 内 容 。 

除 此 之 外 ,英国 标准 协会 (British Standards Institution ,BSIG@) .英国 内 政 部 科学 发 展 处 
(Home Office _ scientific development branch, HOSDB 和 ) 和 英国 数字 保存 联盟 (Digital 
Preservation Coalition ,DPCS) 都 制定 了 电子 数据 取证 的 指南 。 

4. 香港 地 区 制定 的 指南 

香港 资讯 保安 及 法 证 公会 (Information Security and Forensics Society，ISFS@) 成 立 于 
2000 年 ,是 香港 电子 取证 专家 专业 团体 ,主要 目标 是 推广 计算 机 法 证 公众 意识 ,提升 专家 专 
业 能 力 ,创立 公 正规 范 的 规程 ,促进 法 证 技术 的 发 展 。 该 公会 人 员 包 括 香 港 海关 香港 警 务 
处 、 廉 政 公 罩 、 律 政司 \ 企 业 信 息 安全 人 士 \ 院 校 学 者 。ISFS 积极 推动 与 内 地 的 合作 与 交流 ， 
目前 已 经 和 国内 联合 从 办 了 十 届 CCFC 计算 机 法 证 技术 峰会 。ISFC 发 布 的 和 电子 数据 取 
证 相关 的 出 版 物 有 : 

(1) 2004 年 4 月 ,Computer Forensics Part 1: An Introduction to Computer Forensics 

(2) 2009 年 8 月 ,Computer Forensics Part 2: Best Practices 


(3) Computer Forensics Glossary 


3.7 我 国电 子 数据 取证 标准 


长 期 以 来 ,由 于 电子 数据 在 我 国 不 属于 法 定 证 据 ,其 标准 化 工作 无 法 可 依 , 处 于 俘 沛 状 
态 。2013 年 电子 数据 由 国家 法 律 确 定 为 证 据 类 型 之 一 后 ,国内 对 于 电子 效 据 取 证 标准 的 人 研 
实 和 制定 逐步 走 上 正轨 。 

目前 ,国内 的 取证 标准 体系 主要 分 为 三 个 层级 : 国家 标准 (GB/T) ,行业 标准 (由 司法 鉴 


2015 年 成 立 的 国家 警察 局 长 理事 会 (The National Police Chiefs” Council, NPCC) 取 代 了 英国 首席 警官 协会 
(Association of Chief Police Officers, ACPO) 

®@ http:/ /site. npcccems. coraider, comy/ documents/FoI% 20publication/ Disclosure% 20Logs/ Information % 20Management oh 
20FOIL/2013/031%2013% 20Att% 2001% 20of 201% 20ACPO% 20Good”% 20Practice% 20Guide%% 20for% 20Digital 
20Evidence %20March%”%202012. pdf 

http://www. standardsuk. com 

http://webarchive. nationalarchives. gov. uk/20091207123234/http://crimereduction. homeoffice. gov. uk/ 
cpindex. htm 

©® http://www. dpconline. org/ 

@ http://www. isfs. org. hk 
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定 主管 部 门 、 司 法 鉴定 行业 织 或 者 相关 行业 主管 部 门 制定 的 行业 标准 和 技术 规范 ) 以 及 各 相 
关 实 验 室 自制 的 标准 。 电 子 数据 取证 的 标准 主要 以 行业 标准 为 主 ,行业 标准 发 布 较 多 的 相 
关 政 府 部 门 主要 是 公安 部 网 络 安 全 保卫 局 .公安 部 第 三 研究 所 、 公 安 部 刑侦 局 和 公安 部 第 二 
研究 所 等 单位 。 

目前 ,电子 数据 取证 国家 标准 仅 有 三 个 :《GB/T 29360 一 2012 电子 物证 数据 恢复 检验 
规程 》《GB/T 29361 一 2012 电子 物证 文件 一 致 性 检验 规程 》《GB/TI 29362 一 2012 电子 物 
证 数据 搜索 检验 规程 》。 

行业 标准 在 近年 来 得 到 了 快速 的 发 展 。 如 2008 年 发 布 的 行业 标准 仅 四 个 ,《GA/T 
754 一 2008 电子 数据 存储 介质 复制 工具 要 求 及 检测 方法 》《GA/T 755 一 2008 电子 数据 存储 
介质 写 保 护 设 备 检测 方法 》《GA/T 756 一 2008 数字 化 设备 证 据 数 据 发 现 提取 固定 方法 》、 
《GA/T 757 一 2008 程序 功能 检验 方法 ,到 2014 年 发 布 的 行业 标准 数 就 达到 了 7 个 。 

2008 年 发 布 

- GA/T 754 一 2008 电 子 数据 存储 介质 复制 工具 要 求 及 检测 方法 》 

- GA/T 755 一 2008《 电 子 数据 存储 介质 写 保 护 设 备 检 测 方法 》 

- GA/T 756 一 2008《 数 字 化 设备 证 据 数 据 发 现 提取 固定 方法 》 

- GA/T 757 一 2008 程 序 功 能 检验 方法 》 

2009 年 发 布 

- GA/T 825 一 200% 电子 物 证 数据 搜索 检验 技术 规范 》 

- GA/T 826 一 200% 电子 物证 数据 恢复 检验 技术 规范 》 

- GA/T827 一 200% 电子 物 证 文件 一 致 性 检验 技术 规范 》 

- GA/T 828 一 2009《 电 子 物 证 软件 功能 检验 技术 规范 》 

- GA/T 829 一 200% 电子 物证 软件 一 致 性 检验 技术 规范 》 

2012 年 发 布 

- GA/T 976 一 2012《 电 子 数据 法 姓 科 学 鉴定 通用 方法 》 

- GA/T 977 一 2012《 取 证 与 鉴定 文书 电子 签名 》 

- GA/T 978 一 2012《 网 络 游 戏 私服 检验 技术 方法 》 

2014 年 发 布 

- GA/T 1770 一 2014《 移 动 终端 取证 检验 方法 》 

- GA/T 1771 一 2014 世 片 相 似 性 比 对 检验 方法 》 

- GA/T 1772 一 2014《 电 子 邮 件 检验 技术 方法 》 

- GA/T 1773 一 2014《 即 时 通讯 记录 检验 技术 方法 》 

- GA/T 1774 一 2014《 电 子 证 据 数 据 现场 获取 通用 方法 》 

- GA/T 1775 一 2014 软 件 相 似 性 检验 技术 方法 》 

- GA/T 1776 一 20144 网 页 浏览 帮 历 史 数 据 检验 技术 方法 》 

司法 行政 管理 部 门 也 发 布 了 司法 鉴定 技术 规范 ,主要 有 2014 年 发 布 的 2014 年 发 布 
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SF/Z JD0400001 一 2014《 电 子 数 据 司 法 鉴定 通用 实施 规 郊 》、SF/Z JD0401001 一 2014《 电 子 
数据 复制 设备 鉴定 实施 规范 》.SF/Z JD0402001 一 2014《 电 子 邮 件 监 定 实施 规范 》、SF/Z 
JD0403001 一 2014《 软 件 相似 性 检验 实施 规范 ) 等 4 个。 


3.8 本 草 小 结 


电子 数据 取证 不 仅 要 具备 技术 能 力 , 更 要 了 解 相关 的 法 律 法 规 ,并 按照 标准 方法 和 指南 
进行 工作 ,这 样 才能 保证 证 据 的 有 效 性 。 本 章 通过 对 比 英美 法 系 与 大 陆 法 系 (我 国 ) 关 于 电 
子 数 据 的 法 律 规则 ,阐述 了 电子 数据 的 作为 证 据 的 效力 问题 。 同 时 介绍 了 我 国 和 相关 部 门 
对 于 电子 数据 的 法 律 和 法 规 ,以 及 电子 数据 作为 证 据 使 用 的 审查 标准 。 对 于 法 律 实践 有 着 
现实 指导 意义 。 通 过 介绍 国外 发 展 完善 的 标准 和 指南 ,指出 未 来 电子 数据 取证 的 发 展 要 尊 
循 标准 化 的 方法 和 操作 指南 ,来 保证 取证 的 质量 ,确保 电子 数据 作为 证 据 使 用 的 有 效 性 。 


. 简 述 美国 和 英国 关于 电子 数据 的 法 律 。 
. 简 述 美国 的 最 优 证 据 规 则 以 及 对 于 电子 数据 进行 的 修订 。 
. 我 国 关 于 电子 数据 的 相关 立法 有 哪些 ? 
电子 数据 与 视听 资料 的 区 别 是 什么 ? 
电子 数据 与 物证 的 区 别 是 什么 ? 
电子 数据 与 书证 的 区 别 是 什么 ? 
. 电子 数据 与 勘 验 、 检 查 笔录 的 关系 与 区 别 是 什么 ? 
. 电子 数据 的 审查 在 法 律 和 司法 解释 上 有 哪些 规定 ? 
. 电子 数据 取证 的 标准 体系 分 为 几 个 层次 ,具有 什么 含义 ? 
10. ISO/IEC 27037:2012 信息 技术 -安全 技术 -电子 证 据 识 别 .收集 .获取 和 保存 指南 》 
提出 的 电子 数据 的 四 大 原则 是 什么 ? 
11. 我 国 出 台 的 关于 电子 证 据 的 三 个 国家 标准 是 哪些 ? 


DD om 人 wo 


电 了 于 数据 取证 原则 与 流程 


本 章 学 习 目 标 

。 了 电子 数据 取证 的 原则 

。 电子 数据 取证 的 流程 

。 单 机 、 网 络 环境 的 电子 数据 取证 流程 


从 本 和 章 开 始 ,进入 电子 数据 取证 的 实际 操作 。 国 内 外 的 电子 数据 取证 机 构 ,都 根据 多 年 
的 实践 经 验 , 提 出 了 能 够 满足 法 律 和 技术 要 求 的 取证 厚 则 。 由 于 电子 数据 取证 的 复杂 性 , 电 
子 数 据 取证 的 流程 不 会 有 统一 的 模板 ,需要 根据 实际 情况 进行 调整 。 本 章 将 在 前述 取证 厚 
则 的 同时 ,以 单机 和 网 络 两 种 取证 模式 ,阐述 取证 的 基本 流程 。 


4.1 电子 数据 取证 的 原则 


计算 机 证 据 国 际 组 织 (International Organization on Computer Evidence,IOCE )1998 
年 受 八 国 集团 (G8) 委 托 , 人 负责 制定 国际 计算 机 取证 原则 ,并 于 2000 年 颁布 了 计算 机 取证 的 
6 条 原则 : 

(1) 取证 过 程 必须 符合 规定 和 标准 ; 

(2) 获取 电子 证 据 时 ,不 得 改变 证 据 的 原始 性 ; 

(3) 接触 原始 证 据 的 人 员 应 该 得 到 培训 ; 

(4) 任何 对 电子 证 据 进 行 获取 访问 .存储 或 转移 的 活动 必须 有 完整 记录 ; 

(5) 任何 人 接触 电子 证 据 时 ,必须 对 其 在 该 证 据 上 的 任何 操作 活动 负责 ; 

(6) 任何 佰 员 获取 、 访 问 、 存 储 或 转移 电子 证 据 的 机 构 须 遵从 上 述 原则 。 

这 是 最 早 的 关于 计算 机 取证 (电子 数据 取证 ) 的 原则 。IOCE 原则 成 为 以 后 取证 原则 的 
基础 ,并 引导 电子 数据 取证 工作 逐渐 专业 化 。 

时 至 今日 ,尽管 存储 介质 发 生 了 巨大 变化 ,电子 设备 硬件 日 新 月 异 , 电 子 数 据 已 经 脱离 
了 计算 机 设备 ,融入 各 种 形态 的 电子 设备 中 ,但 是 计算 机 取证 的 理念 和 原则 仍然 适用 于 电子 
数据 取证 时 代 。 

居于 电子 数据 取证 技术 发 展 前 列 的 美国 和 闫 国 , 提 出 的 电子 数据 取证 原则 ,始终 具有 指 
导 和 借鉴 意义 。 美 国 司 法 部 (Department of Justice,NU9) 和 英国 首席 警官 协会 (Association 


由 http://www. justice. gov 
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of Chief Police Officers, ACPO) 都 针对 电子 数据 取证 提出 原则 ,并 不 断根 据 实际 情况 进行 
更 正 。 例 如 早期 的 电子 数据 取证 针对 的 目标 主要 为 计算 机 存储 介质 ,利用 只 读 设 备 保 证 证 
据 的 原始 性 。 但 是 随 着 电子 设备 的 发 展 , 手 机 等 移动 设备 的 取证 ,已 经 不 适用 这 条 规则 。 英 
国 首 席 警 官 协会 修改 的 原则 2 指出 : 

(1) 取证 人 员 不 能 采取 任何 动作 改变 电子 数据 ,以 影响 作为 证 据 使 用 的 可 信 性 。 

(2) 如 果 需 要 访问 原始 数据 ,取证 人 员 必 须 具备 相应 能 力 ,能 够 给 出 证 据 解释 行为 的 关 
联 性 和 可 能 影响 的 后 果 。 

(3) 所 有 对 于 电子 数据 的 动作 应 当 被 审计 并 且 记 录 , 第 三 方 机 构 能 够 
整 的 检查 和 重 现 整 个 流程 。 

(4) 取证 人 员 完 全 有 能 力 确保 取证 符合 法 律 和 相关 规定 。 

这 就 根本 上 适应 了 目前 取证 环境 ,为 取证 人 员 的 工作 提供 了 良好 的 指导 。 

本 书 根 据 国 际 通行 取证 原则 ,结合 实践 得 出 的 基本 原则 ,提出 电子 数据 取证 的 基本 原则 
如 下 : 

(1) 取证 流程 符合 国家 和 地 方 的 法 律 法 规 , 从 事 取证 的 执法 人 员 得 到 法 律 的 授权 。 

(2) 必须 采取 完全 可 靠 的 取证 方法 来 保证 电子 数据 的 完整 性 .连续 性 。 作 为 证 据 使 用 
的 电子 数据 被 正式 提交 给 法 寿 时 ,必须 能 够 说 明 在 数据 从 最 初 的 获取 状态 到 在 法 寿 上 出 现 
状态 之 间 的 任何 变化 。 

(3) 从 事 取 证 的 执法 人 员 必 须 经 过 专业 的 培训 。 

(4) 任何 针对 数据 的 获取 .存储 .运输 .分 析 检查 的 活动 都 必须 记录 在 案 ,存档 待 查 ， 

(5) 取证 人 员 应 该 配备 符合 要 求 的 取证 工具 。 

上 述 取 证 原则 不 仅 是 维护 法 制 的 权威 ,体现 司法 的 公正 ,可 以 最 大 限度 地 保护 当事人 的 
利益 (包括 嫌疑 人 和 被 害 者 ) ,同时 能 够 有 效 地 约束 取证 人 员 。 


4. 2 电子 数据 取证 的 流程 


电子 数据 取证 主要 是 通过 对 存储 介质 进行 获取 分析, 从 中 发 现 与 案件 相关 的 线索 和 情 
报信 息 。 电 子 设备 中 会 留存 很 多 涉案 的 信息 。 电 子 数据 取证 在 案件 侦破 中 能 够 发 现 线索 、 
突破 案件 ,往往 对 案件 的 定性 ,是否 批捕 、 是 否 起 诉 等 起 到 了 至 关 重 要 的 作用 。 适 当 的 取证 
的 流程 不 但 决定 获取 的 数据 的 质量 ,也 决定 了 获取 的 数据 的 有 效 性 。 如 何 正确 有 效 地 执行 
电子 数据 取证 工作 ,取证 的 流程 至 关 重 要 。 

目前 ,电子 数据 取证 的 流程 并 没有 一 个 范式 ,利用 的 技术 和 工具 也 不 会 一 致 。 但 是 基本 
上 ,电子 数据 取证 流程 主要 分 为 以 下 四 个 步骤 (如 图 4. 1 所 示 )。 


根据 这 些 记录 和 宛 


中 http://www. acpo. police. uk,ACPO 已 经 改组 为 NPCC(National Police Chiefs”Council) 
@® ALCPO Good Practice Guide for Digital Evidence V5 
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(1) 评估 : 电子 数据 人 员 应 该 针对 工作 作出 全 面 的 评估 ， 


以 决定 下 一 步 采 取 的 行动 。 有 
(2) 获取 : 电子 数据 必须 保存 于 原始 状态 中 , 它 防 止 被 不 分 析 


正确 的 处 理 方法 所 影响 、 损 坏 或 者 被 删除 。 

(3) 分 析 : 提取 出 有 用 证 据 , 分 析 判 断 其 中 的 关联 性 。 将 
数据 转换 为 可 读 可 见 的 形式 。 所 有 分 析 最 好 在 原始 证 据 的 备 
份 中 进行 。 原 始 证 据 应 该 第 安全 的 获取 以 保持 证 据 的 完 

(4) 报告 : 所 有 操作 部 必 须 以 日 志 形 式 记录 、 所 有 的 结 玉 虱 必 须 以 报告 形式 记录 。 

这 个 流程 适用 于 电子 数据 取证 的 各 个 环 太 。 包 括 侦 查 、 勘 验 和 电子 数据 检验 鉴定 。 其 
中 , 评 佑 属于 侦查 阶段 、 获 取 在 勘 验 阶段 ,分 析 贯 穿 于 勘 验 和 鉴定 检验 阶段 \ 报 告 属于 鉴定 检 
验 阶 段 ; 整个 流程 中 需要 实时 记录 有 所 有 动作 ,以 便 证 据 具 备 效 力 和 过 程 可 以 回 漳 。 


4.2.1 评估 


电子 数据 取证 可 能 在 固定 环境 (实验 室 ) 或 者 移动 环境 (现场 ) 中 进行 。 无 论 哪 种 环境 ， 
在 评估 阶段 ,电子 数据 取证 人 员 需 要 获得 以 下 授权 和 信息 

。 获得 法 律 授 权 。 取 证 需要 履行 相关 的 审批 手续 ,在 符合 法 律 要 求 的 前 提 下 方 可 以 

行动 。 

。 案件 信息 和 嫌疑 人 信息 。 案 件 信 息 有 利于 取证 人 员 判 断 嫌 疑 人 的 行为 动作 。 通 过 
判 断 嫌 疑 人 的 计算 机 水 平 , 有 助 于 判断 是 否 有 数据 隐藏 、. 加密、 删除 等 损害 证 据 的 
行为 。 
电子 数据 存储 的 环境 。 是 保存 在 固定 设施 中 还 是 保存 在 虚拟 空间 中 ,以 确定 属于 单 
机 取证 还 是 网 络 取 证 ,还 是 二 者 兼 有 。 
获得 以 上 信息 后 ,可 以 根据 情况 进行 取证 的 相关 准备 。 包 括 : 

。 制定 取证 策略 。 按 照 取 证 对 象 决 定 取 证 的 方法 、 预 案 、 取 证 顺序 。 包 括 是 否 需 要 与 

传统 取证 方式 配合 ,如 DNA 痕迹 等 。 以 免 毁 灭 证 据 。 

确定 取证 的 人 员 。 按 照 人 员 的 不 同 专业 特长 ,配备 符合 实际 需要 的 取证 人 员 。 根 据 

相关 要 求 ,无 论 是 现场 勤 验 还 是 检验 鉴定 ,都 需要 两 人 以 上 。 

。 确定 使 用 的 取证 设备 。 根 据 取 证 要 求 ,挑选 适合 的 取证 设备 ,尽量 做 到 有 元 余 。 

。 确定 取证 目标 ,决定 哪些 设备 或 数据 应 该 被 获取 。 如 人 硬盘 、U 盘 、 照片 .图表 、 文 档 、 
数据 库 等 。 如 果 进 行 现场 取证 ,还 获取 与 案件 有 关 的 额外 信息 。 例 如 电子 邮箱 账 
号 ,地 址 ; ISP 登录 用 户 名 ; 网 络 拓扑 ; 用 户 、 系 统 日 志 ; 用 户 名 ,密码 等 。 这 些 信息 
有 可 能 保存 在 系统 管理 员 .终端 用 户 和 其 他 公司 成 员 手 中 。 这 些 信 息 对 于 分 析 工 作 
极为 有 用 。 


4.1 电子 数据 取证 流程 
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4.2.2 获取 


与 犯罪 关联 的 电子 数据 不 仅仅 存在 于 单独 的 文件 中 ,还 可 能 存在 于 系统 日 志 、 数 据 文 
件 .寄存 需 、 交 换 区 、 隐 藏 文件 .空闲 的 硬盘 空间 、 打印 机 缓存、 四 用 户 进程 存储 、 堆 
栈 、 文 件 缓冲 区 文件 系统 本 和 号 等 不 同 的 位 置 ,电子 数据 按 布 整个 存储 介 

电子 数据 取证 原则 上 不 允许 在 原始 存储 介质 上 直接 进行 分 析 。 pr 
如 硬盘 、U 盘 , 也 要 求 对 其 进行 写 保 护 的 前 提 下 进行 分 析 。 对 于 手机 等 移动 设备 ,要 求 可 回 
漳 ,记录 过 程 。 目 前 电子 数据 取证 更 倾向 使 用 获取 ,在 获取 的 镜像 和 效 据 上 进行 分 析 。 

瑟 保 护 ( 只 读 ), 是 获取 和 分 析 电 子 数据 的 前 提 。 写 保护 对 于 电子 数据 取证 ,主要 有 以 下 
作用 : 

(1) 写 保 护符 合 电子 数据 "原始 性 ?的 要 求 。 通 过 写 保 护 , 取 证 过 程 中 的 任何 操作 都 不 

会 影响 电子 数据 。 保 证 获取 和 分 析 的 电子 数据 的 可 徘 性 ; 

(2) 写 保护 符合 “非法 证 据 排 除 ” 的 要 求 。 通 过 写 保 护 设 备 ,任何 人 员 ,包括 电子 数据 取 
证 人 员 ,在 监管 的 前 提 下 ,无 法 向 存储 介质 中 写 人 数据 。 

获取 主要 分 为 镜像 获取 和 效 据 获 取 。 镜 像 获 取 是 对 源 存 储 介 质 进 行 逐 比特 位 的 复制 ; 
镜像 获取 可 以 提取 到 所 有 的 数据 内 容 , 需 要 分 析 的 时 间 也 最 长 ,镜像 获取 是 完全 的 静态 获 
取 ; 有 的 时 候 , 要 收集 到 所 有 的 数据 是 不 可 能 的 ,例如 正在 运行 的 服务 硕 , 只 能 针对 案件 的 
需要 获取 相应 的 内 容 。 数 据 获取 是 针对 特定 文件 或 者 数据 进行 有 针对 性 获取 ,提取 的 数据 
价值 较 高 。 文 件 获 取 有 静态 获取 和 动态 获取 两 种 方式 。 静 态 获取 方式 是 针对 存储 介质 的 特 
定 文件 进行 提取 ; 动态 获取 又 称 为 " 易 失 性 数据 提取 ”, 按 照 获取 条 略 ,提取 出 特定 的 效 据 。 

除了 上 述 两 种 获取 方式 外 ,还 需要 对 其 他 证 据 类 型 进行 获取 ,以 辅助 后 续 的 分 析 工 作 。 
这 些 证 据 包 括 书证 ,证 人 证 言 . 勘 验 笔录 等 。 例 如 书证 可 能 会 保存 有 犯罪 嫌疑 人 的 口令 信 
奶 ; 证 人 证 言 可 以 提供 服务 套 的 登录 口令 和 备份 方式 。 

1. 镜像 获取 

取证 意义 上 的 获取 必须 是 对 原始 驱动 硕 每 一 个 比特 的 精确 镜像 。 因 为 一 般 的 备份 程序 
(例如 Ghost ) 只 能 对 单个 的 文件 系统 作 备 份 , 它 无 法 捕获 松弛 区 、 未 分 配 空间 及 Swap 文 
件 。 只 有 逐 比 特 拷贝 才能 建立 整个 驱动 需 的 映像 , 才 可 以 确保 得 到 所 有 可 能 需要 的 数据 , 例 
如 已 被 删除 或 隐藏 的 文件 。 

获取 精确 备份 的 最 好 方法 是 应 用 镜像 设备 或 工具 。 镜 像 工 具 应 该 能 够 进行 全 盘 或 者 分 
区 逐 比 特 复制 ,镜像 时 不 改变 原始 内 容 , 具 备 压 缩 、 校 验 . 时 间 惟 .日 志 等 功能 ,同时 具备 较 快 
的 镜像 速度 ; 目前 镜像 工具 分 为 硬件 和 软件 两 种 。 硬 件 镜 像 工具 从 底层 对 硬盘 进行 逐 比 特 
的 复制 ,大 部 分 之 有 只 读 功 能 ,是 目前 首选 的 镜像 方法 。 镜 像 软件 在 便 件 无 法 支持 的 场合 
使 用 。 


OD 默认 情况 下 Ghost 不 拷贝 未 分 配 空间 ， 
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2. 数据 获取 

(1) 文件 获取 

某 些 案件 中 ,仅仅 需要 获取 特定 的 文件 。 例 如 ,黑客 人 侵 案 件 中 ,重点 要 获取 各 种 日 志 
文件 ,例如 Web 日 志 、 系 统 日 志 等 ,以 及 网 站 文件 及 其 数据 库 。 文 件 获 取 利 用 文件 属性 和 文 
件 签 名 技术 ,可 以 快速 地 过 滤 和 搜索 到 特定 的 文件 ,通过 写 保 护 的 方式 ,将 文件 提取 到 外 置 
存储 闫 上 。 

(2) 易 失 性 证 据 获 取 

在 电子 数据 取证 过 程 中 ,主要 从 嫌疑 人 机 器 的 文件 中 寻找 犯罪 证 据 , 然 而 有 些 重要 的 犯 
罪证 据 往 往 存在 于 嫌疑 人 机 器 的 寄存 器 、 缓 存 或 内 存 中 ,这 些 证 据 包 括 当 前 登录 的 用 户 列 
表 、 整 个 文件 系统 的 时 间 / 日 期 戳 、 当 前 运行 着 的 进程 列表 、 当 前 打开 的 套 接 字 列表 、 在 打开 
的 套 接 字 上 监听 的 应 用 程序 等 ,这 些 数据 往往 被 称 为 易 失 性 数据 ,系统 关闭 后 这 些 数据 便 会 
全 部 丢失 且 不 可 能 恢复 。 收 集 易 失 性 数据 是 电子 数据 取证 中 的 一 个 重要 步骤 ,因为 易 失 性 
数据 有 时 会 在 电子 数据 取证 中 起 非常 重要 的 作用 。 易 失 性 数据 通常 需要 根据 受害 系统 的 性 
质 和 安全 管理 的 政策 规定 来 决定 是 让 可 疑 计 算 机 继续 运行 以 进行 易 失 性 证 据 的 获取 ,还 是 
立即 拔 掉 电 源 或 者 进行 正常 的 关机 过 程 。 比 如 在 互联 网 人 侵 案件 中 ,如 果 未 对 计算 机 取得 
镜像 之 前 切断 网 络 或 关机 ,就 可 能 毁 反 人 侵 者 的 登录 IP .内存 中 运行 的 程序 信息 等 有 用 
证 据 。 

收集 易 失 性 数据 的 基本 步 又: 

GO 运行 可 依 的 程序 ; 

记录 系统 时 间 和 日 期 ; 

@) 确定 登录 信息 (包括 远程 用 户 ); 

记录 所 有 文件 的 创建 ,修改 和 访问 时 间 ，; 

@) 确定 打开 的 病 口 ; 

列 出 与 打开 端口 相关 的 应 用 程序 ; 

@ 列 出 所 有 正在 运行 的 进程 ，; 

列 出 所 有 当前 和 最 近 的 连接 ; 

@ 再 次 记录 系统 时 间 和 日 期 。 


4.2.3 分 析 


分 析 是 电子 数据 取证 的 核心 和 关键 ,分 析 涵盖 了 所 有 取证 技术 ,是 最 体现 取证 人 员 取 证 
能 力 的 环节 。 分 析 的 内 容 包 括 系 统 信息 、 文 件 信息 .隐藏 信息 等 多 种 信息 。 黑 客人 侵 和 案件 还 
有 进行 功能 分 析 ,例如 远程 控制 和 木马 程序 的 功能 和 和 危害 程度 等 。 

分 析 大 多 利用 专业 工具 ,包括 Encase、FTK、X-way Forensic 等 综合 取证 工具 。 针 对 特 
定 的 案件 ,还 可 能 用 的 特殊 的 取证 工具 ,例如 串 探 工具 ,在 大 多 数 黑 客 案件 中 ,通过 捕捉 网 络 
流量 并 进行 分 析 , 能 重 构 诸如 上 网 和 访问 网 络 等 行为 。 
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不 同类 型 的 案件 需要 不 同 的 分 析 方 法 。 分 析 的 方法 包括 文件 过 滤 、 关 键 词 查找 数字 校 
验 文件 签名 等 。 

一 般 来 说 ,按照 从 易 到 难 的 方向 ,典型 的 分 析 过 程 主 要 包括 以 下 几 个 步骤 。 

1. 获得 取证 目标 的 基本 信息 

基本 信息 包括 系统 类 型 ,账户 信息 、 安 装 时 间 、 关 机 时 间 等 ; 基本 信息 的 获得 ,可 以 利用 
取证 工具 的 脚本 或 者 自动 提取 功能 实现 。 基 本 信息 可 以 为 电子 数据 取证 人 员 提 供 目 标的 一 
个 基本 概况 ,为 下 一 步 的 取证 工作 打下 良好 基础 。 

2. 文件 过 渡 

文件 过 滤 依 赖 于 操作 系统 、 文 件 系 统 和 应 用 程 订 。 利 用 文件 属性 ,例如 M-A-C 时 间 ,后 
缀 名 、 逻 辑 大 小 、 物 理 大 小 等 属性 信息 进行 过 滤 。 

3. 关键 词 搜索 

关键 词 搜 索 不 依赖 文件 系统 ,设置 的 关键 词 以 二 进 制 的 形式 ,在 介质 中 进行 遍历 ,直到 
命中 结果 。 关 键 词 搜索 往往 可 以 搜索 到 删除 文件 .文件 松弛 区 (Slack Space) 和 未 分 配 空间 
(Unallocated Space) 的 关键 词 ,以 达到 找到 数据 的 目的 。 

在 某 些 具有 目的 性 的 取证 工作 中 ,例如 查找 某 个 机 密 文 件 。 直 接 跳 过 上 述 步 又 ,利用 文 
件 的 关键 词 信息 ,可 以 直接 命中 结果 。 

4. 文件 分 析 

针对 过 滤 或 者 查找 到 的 文件 的 信息 和 元 数据 进行 分 析 , 是 电子 数据 取证 工作 最 具有 技 
术 含 量 的 部 分 。 对 于 文件 需要 分 析 以 下 信息 : 

。 查看 文件 信息 。 例 如 文件 名 、 文 件 大 小 等 信息 以 及 其 他 关联 文件 信息 ; 确定 关联 文 

件 的 数量 和 类 型 。 例 如 ,IE 历史 访问 记录 关联 的 下 载 文 件 。 
。 检查 文件 内 容 。 
。 检查 文件 元 数据 。 通 过 分 析 文 件数 据 结构 ,提取 文件 中 隐 含 的 数据 。 例 如 图 像 文 件 
中 的 GPS 定位 信息 。 

5. 数据 恢复 

在 某 些 情况 下 ,关键 词 搜 索 无 法 达到 目的 ,例如 查找 删除 的 图 像 。 这 时 候 , 需 要 利用 数 
据 恢 复 技 术 。 数 据 恢复 技术 是 对 已 删除 的 、 丢失 的 数据 进行 恢复 ,嫌疑 人 通过 计算 机 进行 犯 
罪 后 ,往往 将 计算 机 中 可 以 反映 或 证 明 自 己 犯罪 行为 的 数据 删除 掉 ,甚至 对 硬件 设备 进行 损 
坏 ,用 以 摊 毁 犯罪 证 据 .掩盖 犯罪 事实 。 数 据 恢复 可 以 恢复 删除 文件 .文件 松弛 区 (CSlack) 和 
未 分 配 空间 中 的 数据 。 

6. 移 码 破解 

当 找 到 的 文件 被 密码 保护 ,需要 利用 密码 破解 技术 破解 密码 ,以 达到 访问 文件 内 容 的 
目的 。 

7. 书签 和 记录 找到 的 数据 

对 上 述 找到 的 文件 和 内 容 进 行书 签 ,以 方便 再 次 分 析 , 同 时 也 记录 的 分 析 的 动作 ,满足 
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司法 需要 。 通 过 分 析 和 关联 书签 的 数据 ,形成 证 据 链 。 
4.2.4 报告 


电子 数据 取证 的 最 后 阶段 ,也 是 最 终 目 的 ,是 整理 取证 分 析 的 结果 ,将 其 形成 证据 链 ” 
供 法 诗作 为 诉讼 证 据 。 取 证 人 员 应 当 根 据 取证 的 原始 记录 ,按照 司法 要 求 形成 鉴定 意见 或 
者 检验 报告 。 意 见 或 报告 里 要 体现 犯罪 行为 的 时 间 、 地 点 和 直接 证 据 信 息 、 系 统 环境 信息 , 同 
时 要 包括 取证 过 程 以 及 对 电子 数据 的 分 析 绪 来 和 报告 。 


4.3 ”典型 的 电子 数据 取证 流程 


4.3.1 单机 环境 电子 数据 取证 


单机 环境 电子 数据 取证 主要 是 指 从 存储 电子 数据 的 介质 中 获取 分析 电子 数据 证 据 的 
过 程 。 存 储 电子 数据 的 介质 并 不 仅 限 于 计算 机 存储 介质 ,还 应 该 包括 各 种 可 以 存储 数据 的 
电子 设备 ,如 移动 存储 器 (例如 U 盘 ) .移动 终端 (例如 手机 .平板 电脑 ) 等 。 

单机 环境 电子 数据 取证 具有 以 下 特点 : 

*。 数据 保存 在 相对 稳定 的 环境 中 。 电 子 数据 存储 在 单独 的 电子 设备 中 ,不 容易 受到 其 

他 因素 的 影响 ,获取 和 分 析 相 对 比较 容易 ,能够 提取 出 完整 的 数据 ; 

。 人 机 关联 。 单 机 环境 中 ,嫌疑 人 往往 在 场 ,因此 对 于 电子 数据 与 嫌疑 人 进行 确定 有 

比较 充分 的 证 据 ; 

。 取证 的 难度 较 低 。 对 于 单机 存储 的 分 析 , 时 间 要 求 不 是 很 紧迫 ,可 以 利用 多 种 取证 

工具 ,进行 详细 的 控 掘 。 

单机 环境 的 电子 数据 取证 基本 遵循 了 电子 数据 取证 基本 流程 。 但 是 由 于 单机 环境 的 案 
件 类 型 多 样 .取证 要 求 不 同 。 因 此 要 根据 实际 情况 灵活 调整 ,适当 时 通过 侦查 试验 或 者 邀请 
技术 专家 于 以 辅助 。 


2004 年 2 月 23 日 , 某 学 生 公 寓 内 发 现 4 具 男 尸 , 当 地 公安 机 关 迅 速成 
立 了 “2。23” 专 案 组 开展 工作 ,发 现 同 宿舍 的 学 生 马 某 有 重大 犯罪 嫌疑 。 
当日 专案 组 即 通过 公安 部 向 全 国 发 出 重金 悬赏 通缉 马 某 的 通缉 令 。 在 对 
案 发 现场 进行 补充 勘查 时 ,侦查 人 员 同 时 勘查 现场 上 的 一 台电 脑 。 通 过 其 
查 发 现 ,侦查 人 员 发 现 马 某 在 案 发 出 逃 前 三 天 基本 上 都 在 网 上 搜集 有 关 海 
南 省 的 信息 ,尤其 是 有 关 海 南 省 交通 、 旅 游 和 房地产 的 相关 信息 。 根 据 发 
现 的 这 条 线索 ,警方 调整 了 通缉 重点 ,很 快 于 3 月 15 日 在 海南 省 将 马 某 缉拿 归案 。 在 本 案 
中 ,成 功 抓 捕 的 关键 就 在 于 使 用 了 单机 电子 数据 取证 。 


案例 
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4.3.2 网 络 环境 电子 数据 取证 


单机 环境 电子 数据 取证 的 技术 和 流程 达到 了 较为 成 熟 的 水 平 , 但 在 网 络 飞 速 发 展 的 大 

环境 下 ,电子 数据 并 不 一 定 存储 在 一 台电 子 设 备 上 ,而 有 可 能 在 网 络 环境 中 ,在 相互 连接 的 
台 设 备 之 间 传 输 。 

当前 ,网 络 环境 下 的 电子 数据 取证 相 比 于 单机 环境 下 的 电子 数据 取证 难度 更 高 。 由 于 
网 络 环境 下 的 电子 数据 取证 通常 涉及 多 台 计 算 机 设备 或 者 移动 终端 ,因此 该 环境 下 的 电子 
数据 取证 呈现 以 下 特点 : 

*。 数据 量 大 。 网 络 环境 的 电子 数据 往往 分 散 保 存在 电子 设备 中 ,更 有 可 能 是 云 存 储 。 
这 就 决定 了 分 析 的 数据 量 巨大 。 
数据 类 型 相对 单一 人 
少 ， 留存 在 数据 类 型 明确 的 文件 中 ， 例如 
数据 格式 复杂 化 。 不 同 的 网 络 应 用 保存 的 数据 格式 不 同 ,需要 进行 格式 化 再 进行 分 
析 。 同 时 特殊 的 网 络 应 用 可 能 会 使 用 加 密 和 特殊 算法 。 

这 些 特点 也 为 网 络 环境 下 的 电子 数据 的 获取 和 分 析 融 来 了 新 的 挑战 。 

网 络 环境 下 的 电子 数据 取证 面 对 的 大 多 数 是 入 侵 类 案件 。 在 网 络 联 机 环境 下 ,电子 数 
据 取 证 可 能 会 涉及 多 台 计 算 机 之 间 的 交互 ,如 电子 邮件 往来 .网 络 金融 转账 等 ,要 提取 其 中 
的 电子 数据 证 据 , 不 但 要 对 多 台 计 算 机 进行 取证 和 分 析 , 而 且 还 需要 了 解 其 网 络 环境 。 

网 络 环境 下 的 电子 数据 取证 的 设备 也 相对 单机 环境 下 取证 的 设备 复杂 。 除 了 电子 数据 
取证 的 专用 装备 、 照 相机 摄像 机 、 易 失 性 数据 提取 软件 ,还 需要 携 禹 网络 抓 包 和 分 析 软 件 、 
移动 存储 设备 等 。 

网 络 环境 的 电子 数据 取证 一 般 具 有 以 下 流程 。 

1. 评估 

一 般 来 说 ,网 络 环 境 的 犯罪 行为 由 于 隐蔽 性 强 ,导致 侦 查 线索 少 。 在 进行 网 络 环境 的 电 
子 数 据 取 证 前 ,要 尽 可 能 地 了 解 案件 情况 。 详 细 了 解 网 络 拓扑 ,了 解 网 络 管理 情况 和 登录 口 
令 、 网 站 数据 库 结 构 和 功能 ,网 站 的 维护 情况 ,以 确定 电子 数据 保存 的 位 置 和 类 型 。 同 时 要 
评估 嫌疑 人 的 技术 能 力 , 以 防止 其 毁灭 证 据 。 

2. 获取 

网 络 环 境 中 的 电子 设备 ,例如 服务 器 ,需要 24 小 时 运行 ,一 般 不 允许 停机 ,这 就 决定 网 
络 环境 的 电子 数据 获取 一 般 无 法 使 用 镜像 获取 方式 。 如 果 有 条 件 , 对 于 涉案 的 网 站 ,应 当 进 
行 远程 勘 验 。 同 时 网 络 环境 中 电子 数据 是 实时 动态 的 ,取证 只 能 针对 文件 进行 获取 。 

网 络 环境 的 电子 数据 取证 ,主要 为 了 判断 行为 和 产生 的 后 果 。 主 要 分 为 两 部 分 : 一 部 
分 是 行为 产生 的 电子 数据 ,例如 易于 失 数 据 和 日 志 、 数 据 库 等 相关 文件 。 另 一 部 分 是 后 果 生 
成 的 电子 数据 ,例如 架设 的 网 站 源 代 码 ,新 增 的 可 疑 账号 、 入 侵 留 下 的 木马 和 恶意 程序 。 这 
些 数据 都 与 网 络 犯罪 行为 密切 相关 。 需 要 取证 人 员 对 相关 网 络 应 用 比较 熟悉 ,必要 时 需要 
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网 络 环境 的 维护 人 员 辅 助 。 

网 络 环境 的 电子 数据 取证 ,因为 涉及 的 网 络 节 点 和 设备 较 多 ,要 重点 注意 时 间 。 防 止 因 
为 不 同 设备 位 于 不 同时 区 、 时 间 未 进行 校准 ,而 影响 数据 的 判断 。 获 取 的 数据 都 要 进行 校 
验 ,以 确保 证 据 的 “原始 性 ”。 

3. 分 析 

尽管 网 络 环境 的 存储 介质 容量 较 大 ,但 是 获取 的 网 络 电子 数据 容量 往往 不 大 ,例如 日 志 
和 数据 库 。 但 是 由 于 网 络 入 侵 方 式 和 技术 的 多 样 性 ,留存 的 特征 也 不 同 。 对 于 分 析 工 作 , 重 
点 是 查找 到 网 络 犯 罪 的 相关 行为 以 及 留存 的 痕迹 。 主 要 包括 查看 当前 进程 和 网 络 连接 、 抓 
取 网 络 数 据 包 、 提 取 内 存 镜 像 和 硬盘 镜像 。 如 果 嫌 疑 人 删除 人 侵 痕 迹 和 格式 化 硬盘 , 则 需要 
进行 数据 恢复 。 

4. 报告 

网 络 犯 罪行 为 往往 持续 时 间 长 ,动作 复杂 。 人 往往 嫌疑 人 本 身 都 无 法 完整 描绘 整个 过 程 。 
网 络 环境 的 电子 数据 取证 需要 在 报告 中 重点 重 构 犯罪 嫌疑 人 的 动作 并 确定 危害 性 。 


2015 年 4 月 , 某 高 校 的 博士 生 和 人 学 考试 网 站 考生 个 人 信息 被 泄漏 。 
其 服务 需 以 虚拟 机 形式 托管 于 信息 中 心 ,网 站 人 和 人口 和 口令 均 保 存在 授权 的 
人 手中 并 未 泄漏 。 经 过 对 其 网 络 环境 进行 取证 分 析 , 找 到 了 该 虚拟 机 ,并 
对 虚拟 机 进行 了 在 线 分 析 ,获取 了 相关 日 志和 数据 库 文件 。 经 过 分 析 后 ， 
确定 嫌疑 人 通过 登录 入口 的 弱点 ,获取 了 管理 员 账 号 ,下 载 了 数据 库 。 通 
过 对 日 志和 数据 库 的 分 析 , 提 取 了 嫌疑 人 的 IP 地 址 。 


4.4 本 草 小 结 


本 草 以 国外 的 取证 原则 为 例 , 提 出 了 我 国 执法 环境 下 的 电子 数据 取证 的 原则 。 根 据 此 
原则 ,电子 数据 取证 分 为 评 佑 获取、 分 析 和 报告 四 个 基本 流程 。 并 根据 实际 工作 环境 ,提出 
单机 、 网 络 两 个 电子 数据 取证 的 流程 。 


. IOCE 与 本 书 提 出 的 电子 数据 取证 原则 的 区 别 是 什么 ? 
. 电子 数据 取证 的 流程 分 为 哪 几 个 环节 ? 

. 电子 数据 获取 和 的 首要 前 提 是 什么 ? 

. 单机 环境 下 的 电子 数据 取证 的 特点 是 什么 ? 

. 网 络 环境 下 的 电子 数据 取证 的 流程 是 什么 ? 


电 于 效 据 取 证 工 具 


本 章 学 习 目 标 
。 商业 取证 工具 的 种 类 和 特点 
。 开源 和 免费 取证 工具 


“ 工 欲 善 其 事 , 必 先 利 其 着 ”。 任 何 一 个 电子 数据 取证 工作 人 员 ,都 布 望 在 取证 过 程 中 使 
用 最 有 效率 的 取证 工具 获取 最 完整 有 效 的 证 据 。 执 法 和 企业 安全 的 需要 刺激 了 电子 数据 取 
证 工具 的 发 展 。 电 子 数据 取证 硬件 和 软件 如 十 后 春 敌 , 层 出 不 穷 。 但 是 真正 得 到 实战 考验 
的 ,符合 严格 取证 要 求 的 塞 骞 无 几 。 本 章 按 照 取证 设备 的 类 型 来 介绍 代表 业内 最 高 水 平 的 
电子 数据 取证 工具 。 


5.1 取证 工具 概述 


美国 电子 数据 取证 技术 研究 起 步 较 早 ,产品 和 技术 发 展 较为 完善 ,目前 美国 公司 的 产品 
在 电子 数据 取证 市 场 上 占据 垄断 地 位 。 世 界 各 国 的 执法 部 门 和 安全 公司 大 多 数 在 使 用 美国 
公司 的 产品 。 


5.1.1 电子 数据 取证 工具 的 发 展 


2000 年 之 前 ,并 没有 成 熟 的 商业 版 取证 工具 ,电子 数据 取证 依靠 的 取证 人 员 的 高 超 技 
术 能 力 。 使 用 的 取证 工具 往往 是 通用 的 软件 ,例如 十 六 进 制 编辑 需 。 或 者 依靠 个 人 能 力 编 
写 程 序 或 者 脚本 。 这 时 候 的 取证 专家 ,往往 是 精通 计算 机 的 高 手 。 他 们 逐步 创建 了 电子 数 
据 取 证 的 原则 ,方法 ,为 电子 数据 取证 的 发 展 打 下 了 良好 的 基础 。 

1999 年 ,第 一 代 的 商业 电子 数据 取证 工具 一 一 Encase 发 布 , 随 后 取证 工具 开始 进入 快 
速 上 帮 展 的 阶段 。Encase、 上 TK 、X-ways Forensics 等 取证 软件 日 趋 成 束 ; 而 与 保护 设备 、 复 
制 机 成 为 取证 的 标准 装备 。 但 是 进行 电子 数据 取证 时 , 巾 于 存储 介质 接口 多 样 ,往往 需要 各 
种 各 样 的 转 接口 ,例如 PCMICA to IDE IDE to SATA.、2.5 英寸 转 3.5 英 寸 IDE 等 。 往 往 
取证 设备 只 能 文 持 一 至 两 种 接口 。 如 何 将 众多 种 类 的 接口 统一 到 一 种 或 两 种 接口 而 不 影 啊 
获取 和 分 析 速 度 , 这 是 当时 无 法 解决 的 一 个 难题 。 随 着 便 盘 接口 逐步 统一 到 SATA/SAS 
和 取证 设备 的 一 体 化 ,设备 兼容 性 已 经 不 是 重点 考虑 的 问题 。 随 着 计算 机 性 能 的 快速 发 展 ， 
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便 盘 容量 发 速 增长 ,导致 分 析 时 间 大 幅度 增加 ,各 迫 取证 工具 也 加 看 多 进程 .并 行 处 理 的 方 
回 前 进 。 

我 国 的 电子 数据 取证 工具 的 发 展 紧 跟 欧美 国家 。 初 期 是 完全 利用 国外 先进 设备 。 例 如 
第 一 代 的 现场 勘 验 箱 使 用 的 就 是 美国 Tableau 的 写 保护 设备 ,取证 软件 更 是 空白 。2004 年 
左右 ,上 海 金 诺 网 安 发 布 DiskForen, 是 国内 第 一 和 僚 电 子 数据 取证 工具 。 近 几 年 来 ,我 国 国 
内 出 现 了 不 少 自 主 研发 的 电子 数据 取证 企业 ,如 厦门 美亚 柏 科 、 上 海 盘 石 . 南 京 掌控 等 。 国 
产 取 证 软件 的 主要 特点 是 使 用 简单 ,对 国产 软件 取证 能 力 强 ,升级 服务 较 稳 定 。 


5.1.2 电子 数据 取证 工具 的 标准 


美国 在 取证 工具 的 标准 化 工作 ,一 卫 走 在 世界 各 国 前 列 。 不 少 国家 和 耳 接 引 用 美国 的 取 
证 设备 标准 。 美 国 国 家 标准 与 技术 人 研究 院 (National Institute of Standards and 
Technology, NISTY) 成 立 于 1901 年 ,是 一 个 非 监 管 性 质 的 联邦 部 门 ,是 美国 测量 技术 和 标 
准 的 国家 级 研究 机 构 。NIST 建立 了 计算 机 取证 工具 测试 项 目 台 (CComputer Forensics Tool 
es CFTT®%) ,目的 是 为 了 制定 统一 的 电子 数据 取证 标准 和 规范 ”。 随 着 电子 数据 取 

证 需求 量 和 参与 执法 部 门 的 增多 ,目前 CFTT 项 目 已 经 成 为 国家 与 标准 研究 院 、 国 土 安全 
部 (Department of Homeland Security,DHS) ,司法 部 (National Institute of Justice ,NIJIJ) 三 
方 共同 维护 的 项 目 。 这 个 项 目 同 时 为 联邦 调查 局 (Federal Bureau of Investigation ,FBI) 、 美 
国防 御 网 络 犯 罪 中 心 (U. S，Department of Defense Cyber Crime Center)、 美国 国税 局 (TU. 
S. lnternal Revenue Service Criminal Investigation Division Electronic Crimes Program) 、 
美国 海关 和 边境 保护 局 (U. S.Customs and Border Protection), 特 勤 局 (U.S. Secret 
Service) 等 执法 部 门 服务 。 同 时 美国 国土 安全 部 还 建立 了 网 络 取证 电子 拉 术 资料 交换 中 心 
(CCyberFETCHS) ,与 CFTT 一 起 进行 电子 数据 取证 工具 的 评测 。 

CFTT 和 CyberFETCH 项 目的 目的 为 确保 执法 部 门 、 司 法 部 门 以 及 其 他 法 律 组 织 在 电 
于 数据 取证 中 使 用 的 工具 有 效 性 。 这 和 套 关 于 取证 工具 的 规格 说 明 、 测试 程序 .测试 标准 、 测 
试 序列 等 的 方法 和 标准 体系 ,取证 工具 涉及 镜像 工具 、 取 证 介质 分 析 工 具 、 写 保护 设备 ( 软 
件 ) 、 写 保护 设备 ( 便 件 ) .数据 恢复 工具 移动 终端 取证 工具 数据 分 析 工 具 、 数 据 搜索 工具 等 
等 ,保证 了 取证 质量 的 稳定 和 法 律 认 可 。 由 于 取证 工具 的 绝 大 部 分 生产 商 在 美国 境内 ,因此 
CFTT 和 CyberFETCH 项 目 可 以 认为 是 目前 最 权威 的 天 于 电子 数据 取证 工具 的 标准 和 


http: //www. nist. gov/ 

具体 由 National Security Standards Program(NSSP) 和 Information Technology Laboratory(ITL) 维 护 ， 

http: //www. nist. gov/itl/ ssd/ cs/ cftt/ 

NIST 还 建设 了 国家 软件 参考 库 项 目 (National Software Reference Library, NSRL) 以 及 计算 机 取证 参考 数据 集 
(Computer Forensic Reference Data Sets,CFReDS). 


旬 则 四 日 


® https://www. cyberfetch. org 
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美国 政府 通过 CFTT 和 CyberFETCH 通过 出 台 标 准 和 指南 相 结 合 方式 为 执法 部 门 的 
取证 规范 提供 支持 ,大 部 分 已 经 出 台 的 文件 部 是 指南 的 性 质 , 不 具备 强制 性 ,而 是 为 执法 部 
门 的 相关 工作 提供 实施 的 思路 和 方法 。 这 是 值得 我 们 学 习 和 仿 鉴 的 。 


5.2 取证 硬件 


S.2.1 瑟 保 护 设 备 


电子 数据 取证 的 首要 和 核心 要 求 是 “不 能 影响 或 算 改 原始 数据 ?。 写 保护 工具 (包括 人 硬 
件 与 软件 ) 是 唯一 的 解决 方法 。 对 于 电子 数据 取证 , 写 保护 工具 很 重要 , 它 可 以 使 数据 单 癌 
传输 而 不 必 担 心 改 变 源 存储 介质 的 数据 。 其 中 ,硬件 写 保 护 设 备 (Hardware Write Blocker 
Device,HWB) 是 通过 人 硬件 设计 来 使 数据 单 加 传输。 最 初 的 与 保护 软件 是 通过 修改 注册 表 
的 键 值 来 使 USB 接口 只 读 来 实现 的 , 写 保护 软件 目前 也 有 成 熟 的 商用 产品 。 但 是 在 易 用 性 
和 可 靠 性 上 面 ,硬件 写 保 护 设备 显然 比 写 保护 软件 的 应 用 范围 广 、 采 信 程度 高 。 

硬件 写 保 护 设 备 是 按照 便 盘 接口 生产 的 ,包括 SATA、SAS、 USB, Firewire、 IDE、 
SCSE , 读 卡 器 、 光 接口 的 硬件 写 保护 设备 。 硬 件 写 保护 设备 要 求 制 造 商 对 硬盘 等 存储 介质 
的 协议 非常 熟悉 ,同时 精通 电路 制造 。 稍 有 不 愤 , 由 于 产品 技术 瑕 竟 , 造 成 数据 双 问 传输 (可 
与 ) ,就 会 对 制造 商 信 誉 造成 严重 打击 ,甚至 会 退出 市 场 。 因 此 , 便 件 写 保护 设备 虽然 是 电子 
数据 取证 设备 的 一 个 子 模块 , 却 是 代表 着 电子 数据 取证 的 很 高 的 研发 能 力 。 目 前 能 够 生产 
制造 硬件 写 保 护 设 备 的 主要 厂家 和 设备 有 Guidancesoftwared 公司 的 Tableau 系列 .CRUS 
公司 的 wiebeTECH 系列 .Addonics 公司 的 “WRITE PROTECT” 系 列 。 

硬件 写 保 护 设备 的 类 型 有 : 

(1) 工业 化 标准 (5.5 英寸 ) 写 保护 模块 。 例 如 Tableau T35689iu 硬件 写 保 护 设 备 , 将 
SATA/SAS.、IDE、USB 与 保护 接口 集成 到 一 个 模块 上 ; 这 类 模块 的 是 集成 度 高 ,性 能 强大 ， 
适合 在 实验 室内 使 用 。 例 5. 1 所 示 Tableau T35689iu 硬件 写 保 护 设备 。 

(2) 便携 式 的 写 保 护 模块 。 例 如 Tableau T35u 硬件 写 保 护 设 备 , 手 掌 大 的 设备 支持 
SATA JIDE 设备 写 保护 ; CRU 的 USB WriteBlocker, 只 有 U 盘 大 小 的 USB 写 保 护 模块 ; 
这 些 设备 适合 在 现场 使 用 。 例 图 5. 2 所 示 Tableau T35u 健 件 写 保护 设备 。 


https://www. guidancesoftware. com/ ,作为 Encase 的 开发 商 ,Guidancesoftware2010 年 5 月 收购 了 Tableau 公 
司 ,成 为 能 够 生产 取证 硬件 和 软件 的 龙头 企业 。 
@ http://www. cru-inc com/ 


® http://www. addonics. com/ 
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5.1 Tableau T35689iu 硬件 写 保 护 设 备 图 5.2 Tableau T35u 硬件 写 保护 设备 


(3) PCI-E 只 读 卡 : wiebeTECH-ReadPort SAS, 是 CRU 与 
ATTO 公司 联合 开发 的 ,可 以 使 用 于 PCI-E 接口 ,最 高 文 持 6 个 
SATA 设备 ,最 高 速度 6Gb/s。 是 目前 最 快 的 写 保 护 设 备 。 厂 泛 
地 应 用 于 取证 一 体 机 上 。wiebeTECH-ReadPort SAS 如 图 5. 3 
所 示 。 

硬件 写 保 护 设备 的 性 能 体现 在 两 方面 : 

(1) 对 于 目标 存储 介质 的 支持 ,包括 接口 和 读 取 速度 。 写 保 

图 5.3 wiebeTECH- 护 硬件 应 当 能 够 支持 尽 可 能 多 的 接口 ,同时 能 够 发 挥 出 目标 存储 

ReadPort SAS 介质 的 性 能 ， 
(2) 对 于 取证 分 析 设 备 的 支持 。 包 括 接口 和 传输 速度 。 写 
保护 设备 与 答 主 计算 机 设备 结合 使 用 才能 发 挥 出 最 高 性 能 , 写 保护 设备 与 和 宿主 计算 机 可 以 
使 用 USB 3. 0、eSATA、FIREWIRE400、FIREWIRE800 连接 。Tableau 和 Addonics 的 最 
新 设备 已 经 更 新 到 支持 USB 3.0, 是 目前 最 快 的 硬件 写 保 护 设备 。 
除 此 之 外 ,使 用 的 简易 性 和 升级 的 频率 ,也 是 人 刹 件 写 保护 设备 值得 考虑 的 指标 。 


5.2.2 镜像 设备 


镜像 设备 ,又 称 为 克隆 机 或 者 硬盘 复制 机 ,是 通过 位 对 位 复制 源 盘 (嫌疑 人 硬盘 ) 的 数 
据 ,保存 到 目标 盘 ( 取 证 硬盘 ) 的 专用 设备 。 镜 像 设 备 的 克隆 对 象 为 各 种 便 盘 .闪存 介质 。 从 
介质 种 类 来 看 ,可 以 支持 3.5 英寸 台式 机 硬盘 和 2. 5 英寸 笔记 本 硬盘 (对 于 其 他 类 型 的 硬 
盘 ,在 使 用 转换 卡 的 前 提 下 有 限 支持 ,例如 1.8 英寸 硬盘 )、U 盘 等 的 镜像 。 从 支持 接口 上 
看 ,支持 IDE、SATA、SAS、SCSI(68/80)、USB 的 存储 介质 。 

镜像 设备 的 发 展 是 随 着 硬盘 技术 的 发 展 而 发 展 的 。 最 早 的 以 SF-5000、SOLO 工 为 代 
表 的 镜像 设备 ,由 于 硬盘 的 性 能 和 容量 有 限 , 复 制 速度 最 高 1.8GB/min。 随 着 便 盘 存储 容 
量 和 性 能 的 飞速 增加 ,对 于 镜像 设备 的 镜像 速度 要 求 也 不 断 提 高 。 目 前 最 快 的 镜像 设备 可 
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以 超过 10GB/min( 使 用 SSD 人 硬盘) 。 

镜像 设备 的 种 类 分 为 两 种 : 司法 专用 型 和 民用 型 。 民 用 型 广 沁 的 使 用 于 消费 类 计算 
机 制造 业 ,用 于 计算 机 系统 批量 镜像 安 疹 ; 司法 专用 型 相对 于 民用 型 ,增加 了 数据 校 验 功 
能 和 数据 单亲 获取 功能 ,具有 较 严 格 的 镜像 标准 。 这 些 设备 通过 精确 的 数据 校 验 机 制 ， 
实时 计算 源 盘 和 目标 盘 的 喻 希 值 ,确保 源 数 据 未 被 改动 ,数据 与 证 据 刹 盘 完 全 一 臻 。 目 前 


主要 的 校 验方 法 有 SHA1、SHA256、MD5 和 CRC32, 基 于 此 种 方法 进行 校 验 ,镜像 的 硬盘 


能 够 作为 司法 证 据 被 法 律 认 可 。 需 要 注意 的 是 ,严格 的 数据 校 验 机 制 ,镜像 速 度 也 因此 受到 
影 啊 。 

镜像 设备 的 优点 是 设备 用 途 明 确 , 人 简单 操作 。 缺 
点 也 同样 明显 ,一 是 大 容量 硬盘 ,例如 6TB 以 上 的 便 
盘 , 在 现场 进行 镜像 ,要 超过 4 个 小 时 ; 二 是 新 型 的 一 
体式 取证 设备 ,已 经 集成 镜像 功能 。 这 些 因 系 使 得 蚀 
像 设 备 的 使 用 引 围 越 来 越 锋 罕 。 

最 新 的 镜像 设备 设备 有 Guidancesoftware 的 
Tableau TD3 如 图 5. 4 所 示 、Logicube4 的 Forensic 图 5.4 ”Tableau TD3 镜像 设备 
Falcon ICS 的 SOLO4。 


5.2.3 现场 勘 验 设备 


现场 勘 验 是 每 个 国家 执法 部 门 都 非常 关注 的 工作 环节 。 与 实验 室 的 检验 鉴定 不 同 , 现 
场 勘 验 要 求 在 尽 可 能 短 的 时 间 ,固定 提取 数据 。 这 就 要 求 现 场 勘 验 设备 体积 小 ,功能 强 , 具 
备 尽 可 能 多 的 配件 并 保证 元 余 , 以 应 对 现场 复杂 的 情况 。 

在 消费 级 计算 机 还 没 普及 的 年 代 , 电 子 数据 现场 勘 验 的 目标 都 是 商业 机 器 ,是 依靠 取证 
人 员 的 高 超 技 能 ,往往 依靠 一 张 提前 做 好 的 工具 集 光盘 或 软盘 ,加 上 一 些 转 接线 来 完成 勘 验 
的 。 在 笔记 本 出 现 后 ,现场 勘 验 是 依靠 高 性 能 的 笔记 本 加 上 转 接线 ,对 于 人 的 要 求 还 是 很 
高 。 这 时 候 , 现 场 勘 验 箱 的 挫 形 出 现 了 。 这 时 候 的 现场 勘 验 箱 将 笔记 本 、 转 接线 和 配件 装 人 
一 个 金属 箱 体 中 ,易于 移动 。 取 证 工具 箱 的 工具 应 该 包括 常用 的 拆 机 工具 ,包括 各 种 规格 的 
螺丝 刀 各 种 转换 接口 ,如 IDE to USB 转 接 卡 ; 1. 8 英寸 to 2.5 英寸 硬盘 转 接头 , 读 卡 

现场 勘 验 箱 对 于 快速 有 效 地 在 现场 进行 电子 数据 勘 验 起 到 了 非常 大 的 作用 ,这 种 勘 验 
箱 的 缺点 也 非常 明显 。 一 是 笔记 本 的 性 能 还 是 有 限 ; 二 是 存储 介质 需要 各 种 转 接 , 速 度 不 
快 ,而 且 容 易 出 现 传输 问题 。 图 5. 5 所 示 为 两 种 典型 的 现场 勘 验 箱 。 

随 着 计算 机 设备 的 发 展 进 步 和 电子 数据 取证 思路 的 更 新 。 将 计算 机 设备 和 各 种 接口 继 
承 到 一 个 容器 的 现场 勘 验 设备 ,最 早 是 美国 ICS 公司 生产 的 RoadMaSSter Portable 
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取证 工具 箱 
强 光 手 电 电视 全 火线 400 火线 400 USB 2.0 延 长 线 


_™ 


yr” : 
LN A pea 


\ Wy 1 NAL | 交 义 网 线 


防 静 电 手 倒 物证 标识 帖 
防 静 电信 
笔记 本 拆 机 工具 
硬盘 跳 线 CD-500 电 源 
电话 线 
全 本 且 
五 金工 具 包 网 络 线 
于 CS ES 东芝 1.8 英 寸 硬盘 
疗 


电源 插座 排 “中 口 硬 攻 转换 器 “笔记 本 奏 盘 转换 
图 5.5 早期 的 两 种 现场 勘 验 箱 


Forensics Lab, 如 图 5.6 所 示 。 这 种 设备 使 用 的 计算 机 性 能 较 高 ,接口 统一 在 箱 体 上 ,易于 
使 用 。 这 是 一 体式 现场 勘 验 设备 的 锥 形 。 

一 体式 现场 勘 验 设备 已 经 成 为 目前 电子 数据 现场 勘 验 的 主要 设备 。 在 一 线 执法 部 门 和 
厂商 的 共同 努力 下 ,一 体式 现场 勘 验 设备 (如 图 5.7 所 示 ) 得 到 了 极 大 的 发 展 。 这 种 设备 的 
发 展 趋 势 是 ,在 体积 更 小 的 前 提 下 ,提供 更 强 的 运算 性 能 、 更 丰富 的 接口 和 更 人 性 化 的 设计 。 
最 新 的 一 体式 现场 勘 验 设备 已 经 具备 触 控 屏 ,能 够 依 徘 点 击 快速 完成 工作 。 这 也 给 电子 数 
据 现 场 勘 验 的 工作 机 制 带 来 了 草 命 ,以 往 必 须 依 徘 取 证 专家 完成 的 现场 勘 验 ,现在 融入 了 专 
家 判断 机 制 ,能 够 由 经 过 基础 训练 的 现场 勤 验 人 员 来 自动 完成 。 


图 5.6 RoadMaSSter-2 Portable Forensics Lab 图 5.7 一 体式 现场 勘 验 设备 
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S.2.4 介质 取证 设备 


介质 取证 设备 是 电子 数据 取证 的 核心 设备 之 一 ,往往 是 电子 数据 取证 实验 室 的 基础 设 
备 。 使 用 介质 取证 设备 的 根本 目的 是 ,利用 高 性 能 的 计算 机 设备 、 辅 以 专业 的 取证 工具 ,在 
电子 数据 取证 专业 人 员 的 操作 下 ,全面 ,快速 地 完成 电子 数据 取证 工作 。 与 现场 勘 验 设备 的 
要 求 不 同 , 介 质 取 证 设备 要 求 性 能 高 .能够 在 最 短 时 间 、 全 面 地 完成 多 块 便 盘 的 分 析 工 作 。 
因此 介质 取证 设备 往往 使 用 高 性 能 的 工作 站 、 其 至 服务 器 作为 载体 。 早 期 的 介质 取证 设备 
庞大 笨重 、 耗 电量 高 .具有 较 高 的 故障 率 。 

随 着 设备 性 能 的 提升 ,目前 介质 取证 设备 已 经 可 以 同时 分 析 4 块 以 上 的 硬盘 ,具备 多 线 
程 的 分 析 能 力 。 同 时 具备 人 镜像、 密码 破解 等 能 力 。 配 备 多 块 液 唱 显 示 厦 ,可 以 提供 丰富 的 信 
息 以 便于 取证 人 员 进 行 分 析 。 图 5. 8 和 图 5. 9 为 两 种 典型 的 介质 取证 设备 。 


: 
天 二- 
-Ag 
本 四 
-人 
3 
2 


图 5.8 美亚 “取证 塔 ” 图 5.9 盘 石 计算 机 取证 分 析 平 全 


未 来 ,介质 取证 设备 会 根据 实验 室 建设 的 方案 ,以 系统 化 、 集 成 化 的 形态 出 现 ,能 够 连接 
中 心 存 储 , 并 行 的 进行 分 析 。 届 时 ,取证 实验 室 的 工作 效率 会 得 到 质 的 提升 。 


5S.2.5 移动 终端 取证 设备 


移动 终端 主要 指 手 机 平板 电脑 和 车载 电脑 等 具备 操作 系统 和 数据 处 理 能 力 的 便携 类 设 
备 。 稚 至 2012 年 2 月 ,移动 终 闯 的 代表 一 一 手机 的 出 储量 已 经 超过 PC。 目 前 移动 终端 的 
发 展 非 彰 迅速 ,这 使 得 电子 数据 取证 的 主要 目标 从 存储 介质 网 移动 终 病 延伸 。 由 于 移动 终 
峭 更 新 换代 速度 非常 快 , 同 时 移动 终端 的 系统 多 梓 ,数量 非常 大 ,因此 移动 终端 的 取证 难度 
很 高 。 主 要 体现 在 两 点 : 

(1) 需要 对 于 移动 终 病 的 运行 机 制 有 充 分 了 解 ,而 且 需 要 能 够 对 市 面 上 大 多 数 移动 终 
珊 设 备 有 着 民 好 的 菩 容 性 ,同时 能 够 对 乔 能 设备 上 的 应 用 程序 (APP) 有 看 全 面 的 解析 能 力 。 

(2) 移动 终端 的 本 地 化 ,使 得 移动 终端 取证 设备 也 具有 鲜明 的 本 地 特色 。 例 如 “山寨 
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机 ”(Chinese Phone) 的 取证 当然 是 中 国 本 土 企 业 文 持 的 最 好 。 

移动 终端 取证 设备 的 开发 难度 超过 介质 取证 设备 。 移 动 终端 的 取证 设备 经 过 几 年 的 发 
展 , 已 经 能 够 为 实战 提供 良好 的 服务 。 手 机 取证 工具 主要 分 为 硬件 和 软件 两 种 中。 硬件 设 
备 的 形态 分 为 定制 开 模 和 平板 电脑 (笔记 本 ) 两 种 。 而 软件 形态 的 产品 ,也 需要 配 载 连接 线 、 
适 配 冀 等 设备 才能 使 用 。 移动 终 病 取证 人 刹 件 设备 企业 和 产品 ,国外 主要 有 以 色 列 的 
Cellebrite> Touch、Mslab 的 XRY TABLET 、AccessData 的 MPE 十 .Oxygen 和 的 Oxygen 
Forensic Suite、mobiledit% 的 MOBILedit Forensic。 国 产 手 机 取证 产品 主要 有 厦门 美亚 柏 
科 的 DC4500 系列 .上海 盘 石 公司 的 SafeMobile .广州 高 耐 特 的 108 系列 等 产品 。 

比较 有 代表 性 的 产品 是 Cellebrite, 如 图 5. 10 所 示 。 以 色 列 Cellebrite 公司 是 苹果 公司 
合作 商 , 负 责 为 苹果 用 户 的 手机 迁移 数据 。 因 此 对 于 苹果 和 其 他 系统 的 设备 有 着 非常 次 的 
了 解 。Cellebrite 的 设备 代表 痢 移 动 终 问 取 证 设备 的 最 高 水 平 。 其 出 品 的 UFED Touch 是 
一 款 高 性 能 的 移动 终端 取证 工具 ,配备 一 体式 的 工作 主机 可 以 通过 触 屏 进行 操作 ,支持 手机 
的 物理 镜像 获取 .逻辑 文件 .文件 系统 的 提取 ,可 以 恢复 删除 的 数据 和 密码 ,支持 IOS、 
Symbian 、Android、WindowsPhone、BlackBerry、MTK 等 平台 。 


图 5. 10 Cellebrite UFED Touch 


S.2.6 数据 恢复 设备 


数据 恢复 是 电子 数据 取证 中 必要 环 世 。 但 是 由 于 数据 丢失 的 原因 不 仅仅 有 逻辑 删除 ， 
还 有 物理 损坏 ,使 得 数据 恢复 的 技术 相对 较 难 。 数 据 恢 复 要 求 对 硬盘 的 ATA 命令 和 存储 
原理 相当 精通 ,还 需要 使 用 专业 的 效 据 恢复 设备 辅助 进行 ,尽管 如 此 , 效 据 恢复 的 成 功率 也 
往往 无 法 让 人 满意 。 


由 于 智能 终 闯 取证 工具 硬件 和 软件 的 界限 不 大 ,因此 不 在 取证 软件 中 再 行 曾 述 。 
http://www. cellebrite. com/ 
https: //www. msab. com 


http: / /www. oxygen-forensic. com/ 


四 外 昌 四 日 


http:/ /www,. mobiledit, comy/ forensic 
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数据 恢复 设备 主要 有 俄罗斯 的 ACE Lab2 的 PC3000 .Soft-Center 的 了 ash-extractor 包 。 
国内 的 效率 源 2 公 司 的 数据 恢复 设备 功能 也 很 强大 。 


s.3 取证 软件 


从 根本 上 讲 , 际 了 少数 取证 人 硬件 设备 ,例如 只 读 锁 、 复 制 机 需 要 租 入 式 系 统 的 定制 开 模 
外 ,电子 数据 取证 工作 主要 是 依赖 取证 软件 来 进行 的 。 电 子 数据 取证 针对 的 是 数字 形态 的 
电子 数据 ,因此 利用 的 工具 也 部 是 数字 化 的 软件 。 电 子 数据 取证 软件 是 集 计算 机 知识 体系 
于 一 体 的 专业 化 工具 , 它 分 析 的 是 非 结 构 化 的 电子 数据 ,将 其 以 结构 化 的 形态 呈现 。 因 此 对 
于 计算 机 的 运行 机 制 、 操 作 系 统 、 应 用 程序 的 功能 和 文件 的 结构 ,部 要 上 其 有 相应 的 功能 来 处 
理 。 严 格 意义 上 讲 , 电 子 数据 取证 就 是 针对 二 进 制 数据 进行 的 ,如 果 对 于 二 进 制 数据 有 着 充 
分 的 了 解 ,将 其 解码 ,就 可 以 完成 所 有 的 取证 工作 。 取 证 软件 只 不 过 是 将 这 些 功 能 集成 进 
去 ,提供 可 视 化 的 操作 方式 ,来 辅助 取证 人 员 来 进行 取证 工作 。 人 与 取证 软件 的 完 闫 结合 ， 
才能 发 挥 电子 数据 取证 的 巨大 威力 。 


S.3.1 介质 取证 软件 


介质 取证 软件 是 代表 最 全 取证 功能 、 最 高 取证 能 力 的 电子 数据 取证 工具 。 是 每 个 取证 
人 员 痢 要 能 熟练 使 用 的 工具 。 介 质 取 证 软件 也 是 出 现 最 早 发 展 最 成 熟 的 取证 工具 ,能够 针 
对 Windows、Mac OS、UNIX/Linux 等 系统 进行 取证 。 目 前 ,介质 取证 工具 主要 有 以 下 几 种 
主要 产品 : 

1. Encase 

Encase 由 美国 Guidance Software 公司 出 品 , 是 目前 使 用 最 为 广泛 的 电子 数据 取证 工 
具 之 一 。 超 过 8000 个 公共 和 政府 调查 机 构 使 用 EnCase 软件 ,并 有 超过 2300 个 调查 机 构 定 
期 参加 Guidance Software 使 用 方法 的 培训 。 被 大 量 的 法 庭 证 实 并 获得 了 许多 行业 奖项 ， 
EnCase 软件 被 认为 是 电子 数据 取证 的 行业 标准 。 

Encase 作为 一 于 世界 级 的 取证 工具 的 一 个 最 大 特点 是 提供 了 二 次 开发 功能 ,利用 其 附 
宙 的 功能 强大 的 脚本 功能 (Enscript) 可 以 解决 很 多 功能 菜单 中 无 法 解决 的 问题 ,以 满足 多 
种 的 实战 需要 。 但 是 其 超 强 的 数据 分 析 功 能 依 菲 于 分 析 专 家 的 专业 知识 和 软件 操作 技巧 ， 
否则 很 难 真 正 发 现 有 效 信息 。 

2. FTK 

FTK(Forensic_Toolkit) 是 美国 AccessData 公司 出 品 的 一 款 综 合 取 证 分 析 软 件 , 是 日 


http://www. acelaboratory. com/ 
http://www. flash-extractor. com/ 
http:/ /www. xlysoft. net/ 


https: //www. guidancesoftware. com 


@OOOc 


http://accessdata. com/ 
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前 使 用 最 为 广泛 的 电子 数据 取证 工具 之 一 。FTK 可 以 支持 4 台 以 上 服务 器 同时 进行 运算 
分 析 ,分 布 式 处 理 数 据 快 速 目 动 找 出 所 需 的 证 据 ,这 是 分 布 式 取证 的 -个 发 展 方 回 。 

相对 于 Encase 专家 级 的 使 用 方法 ,FTK 使 用 方法 却 非常 倍 单 ,分 析 结 末 也 相当 耳 观 ， 
无 须 过 多 的 培训 妈 可 实现 主要 的 数据 分 析 目 的 。 其 文件 查看 、 加 密 数据 查找 ,已 知 文件 过 渡 
功能 更 强 于 ENCASE。 同 时 具备 介质 取证 和 手机 取证 功能 .可 视 化 的 展示 能 力 。 

3. X-Ways Forensics 

X-Ways Forensics 的 德国 X-Ways 公 Ss - 块 功能 强大 的 综合 取证 分 析 软 件 。 
该 软件 基于 Winhex ga 用 少 、 功 能 强大 的 二 进 制 编辑 功能 、 文 持 文 
件 系 统 多 数据 恢复 能 力 强 等 特点 。 

作为 取证 软件 的 后 起 之 秀 ,X-Ways Forensic 将 Winhex 对 于 数据 结构 的 充分 理解 的 优 
点 集成 ,同时 根据 取证 的 需要 ,增加 了 很 多 新 的 功能 ,例如 图 片 模糊 搜索 。X-Ways Forensic 
增加 了 脚本 功能 ,可 以 娼 美 Encase 软件 的 Enscript。 相 对 于 Encase 和 FTK,X-Ways 
Forensics 的 售 价 相 对 较 低 ,升级 比较 方便 。 

4. 国产 介质 取证 软件 

国产 介质 取证 软件 以 美亚 相 科 的 取证 大 师 和 上 海 盘 石 Safe Analyzer 为 代表 ,以 简单 、 
实用 快速 ,针对 性 强 为 显 普 特征 ,强调 易 用 性 和 面 癌 一 线 计算 机 水 平 相对 较 弱 的 人 员 使 用 ， 
加 强 了 规范 化 程序 化 、 专 业 化 要 求 ,在 实战 中 取得 明显 效果 。 


S.3.2 Mac OS 系统 取证 软件 


介质 取证 软件 已 经 能 够 分 析 苹 呆 的 Mac OS X 操作 系统 ,但 是 对 于 Mac OS X 系统 的 
数据 的 挖掘 和 解析 能 力 ,还 是 与 专用 的 Mac OS X 系统 取证 软件 有 一 定 差距 。 随 着 苹果 计 
算 机 设备 普及 应 用 ,取证 对 和 象 中 苹果 计算 机 设备 大 幅 增 加 。 因 此 , 害 需要 专用 的 平 条 Mac OS X 
系统 取证 软件 。 目 前 , 竺 果 Mac OS X 系统 取证 软件 主要 有 Sumauri 公司 的 Recon for Mac 
OS X99 .Blackbag% 公司 的 BlackLight 和 MacForensicsLab 公司 的 MacForensicsLab。 


5.3.3 UNIX/Linux 系统 取证 软件 


在 电子 数据 取证 早期 阶段 ,大 部 分 的 取证 工具 都 运行 在 UNIX/Linux 环境 下 ,只 不 过 
随 看 Windows 操作 系统 和 逐渐 占据 市 场 大 部 分 份 手 ,取证 工具 才 了 逐渐 转移 到 Windows 环境 
中 。 但 是 ,UNIX/Linux 在 商业 应 用 中 占有 率 很 高 ,其 取证 工具 还 是 有 很 大 发 展 前 途 的 。 

目前 在 UNIX/Linux 下 的 取证 软件 比较 有 代表 性 是 ASR Data® 的 SMART。1992 


http: /www. winhex. comy/ 
http:/ /sumuri. comy product/ recon-for-mac-os-x/ 
https:// www. blackbagtech. com/ 


http: / www. macforensicslab. comy 


四 外 则 四 日 


http:/ www. asrdata. com/ 


第 5 章 ， 电 子 数据 取证 工具 101 


年 ,ASRdata 被 要 求 开发 一 个 工具 软件 来 支持 特殊 需求 的 执法 机 构 。MASTER 开发 这 个 
集成 化 的 .GUI 界面 的 取证 工具 软件 被 命名 为 Expert Witness ,执法 人 员 拥 有 了 强大 易 用 的 
工具 。Expert Witness for Windows95( 现 在 被 出 售 并 被 重新 命名 为 Encase) 是 当时 电子 数 
据 取 证 领域 内 的 工业 标准 。SMART 是 作为 Expert Witness 的 后 续 产 品 发 布 。 


5.3.4 镜像 软件 


镜像 软件 主要 分 为 两 种 功能 : 镜像 制作 和 和 镜像 挂 载 。 

镜像 是 介质 取证 软件 的 基本 功能 之 一 。 但 是 由 于 需要 镜像 的 场合 比较 多 ,因此 使 用 复 
杂 的 介质 证 软件 显得 比较 繁 天 。 因 此 主流 的 介质 取证 软件 厂商 将 镜像 软件 独立 成 产品 ,大 
多 数 都 是 免费 产品 ,起 到 宣传 介质 取证 软件 的 作用 。 

FTK Imager 是 AccessData 公司 出 品 的 一 率 免 费 镜像 制作 软件 (如 图 5.11 所 示 ), 具 有 
数据 预 宽 、 证 据 锐 像 制作 、 加 载 证 据 镜 像 等 功能 ,能 够 文 持 目前 几乎 主流 的 文件 系统 ,能 够 加 
载 和 生成 包括 DD、E01、Smart、AFF 格式 的 证 据 锐 像 , 使 用 起 来 十 分 方便 。 际 FTK image 
外 ,Guidance Software 公司 也 发 布 『 Encase imager; X-Ways 上 发布 了 X-Ways image 软件 。 
对 于 苹果 文件 系统 ,可 以 使 用 MacQuisitionb。 专 业 的 镜像 挂 载 工 具有 getData Mount 
Image Pro®, 


[a AccessData FIKImager 3.3.0.5  ， ww 
Fle View Mode Help 
和 愈 磺 名 全 和 合 | 咎 加 日 入 己 二 mm| 则 4| 口 目 国 || 计 庆 这 | 了 .， 


> 


Image Source 
| [Partition 1 [23395MB] ] 


Starting Evidence Mumber: po 


Endence Tree 

已 - 息 "4. PHISICALDRIVE1 
-nl Partition 1 [29996MB] 
i 全 FrnCase [NIFS] 


i | [unallocated space] 
由 -. 忆 Unpartitioned Space [basic disk] 


Image Destination{s) 


Custom Content Sources 


Evidence:File System|Path File Dr 


[lv Verify images after they are veated [FF Precalculate Progress Statistics 
| Create directory listings of all filesin the image after they are created 


4 
New| Edit 


properties |Hex Value Int..， Custom CM 


Remove MI create Imagl 


REMOYE 


图 5.11 FTK imager 


中 https://www. blackbagtech. com 


回 http://www. mountimage. com/ 
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5.3.5 系统 环境 仿真 软件 

系统 环境 仿真 对 于 电子 数据 取证 的 作用 非常 重要 ,可 以 通过 仿真 嫌疑 人 系统 ,提供 给 取 
证 人 员 一 个 直观 的 ,动态 运行 的 操作 系统 ,可 以 直接 检查 嫌疑 人 系统 而 不 必 担 心算 改 数 据 。 
系统 环境 仿真 软件 主要 有 GetDatau 的 商业 版 Virtual Forensic Computing (VFC) 和 开源 
的 Liveview。 国 内 的 美亚 柏 科 、 盘 石 等 公司 也 有 自己 的 系统 环境 仿真 软件 。 相 对 于 开源 
的 Liveview, 商 业 版 的 系统 环境 仿真 软件 具有 更 好 的 兼容 性 ,能够 文 持 更 多 的 系统 版 本 , 同 
时 具备 登录 密码 绕 过 功能 。 


S.3.6 数据 恢复 软件 


在 数据 恢复 软件 的 领域 中 ,EasyRecovery 和 FinalData 被 认为 是 不 够 专业 的 。R-Studio 和 
Winhex 是 经 常 使 用 的 数据 恢复 软件 。 


S.3.7 电子 邮件 分 析 软 件 


电子 邮件 分 析 软 件 主要 应 用 于 需要 分 析 大 量 邮件 的 商业 犯罪 领域 。 执 法 部 门 主要 为 海 
关 。 这 类 工具 主要 为 Intella% 和 nuixd。 

电子 邮件 分 析 软 件 可 以 分 析 所 有 的 邮件 ,将 涉及 的 所 有 关系 人 进行 天 联 , 从 而 揭示 他 们 
之 间 的 邮件 联系 和 联络 关系 。 使 执法 人 员 可 以 快速 ,方便 地 检索 和 审查 电子 邮件 和 电子 存 
储 信 息 ,找到 关键 数据 ,通过 一 个 易于 理解 的 可 视 化 界面 ,清晰 显示 相关 的 联系 。 


5S.3.8 密码 破解 软件 


加 蜜 与 解密 是 电子 数据 取证 中 永恒 的 检查 目标 。 电 子 数据 取证 中 往往 遇 到 加 密 的 数 
据 ,这 时 候 需 要 使 用 密码 破解 软件 进行 破解 。 传 统 的 密码 破解 软件 仅仅 针对 特定 类 型 的 加 
密 文 件 , 只 能 够 在 单机 使 用 。 受 限于 单机 的 运算 速度 ,在 密码 强度 逐渐 增加 的 今天 ,对 于 高 
强度 加 密 的 文件 很 难 解 密 成 功 ,显然 已 经 不 能 满足 需要 。 在 AccessData 公司 推出 分 布 式 网 
络 窗 码 破 解 系 统 (Distributed Network Attack,DNAS) 后 ,利用 多 台 计 算 机 并 行 计 算 的 破解 
密码 方式 出 现 , 使 得 密码 破解 进程 大 大 提前 。 如 图 5. 12 所 示 为 目前 主流 的 分 布 式 密码 破解 


工具 Passwre Kit Forensic® Elcomsoft Password Recovery Bundle®?, 


http://www. virtualforensiccomputing. com/ 
http:/ /liveview. sourceforge. net/ 
http://www. intella. cn/ 

http:/ /www. nuix. com/ 

目前 ,DNA 已 经 不 再 更 新 。 


http://www. lostpassword. com,/ 


QA@GOQG080G6 


https: / /elcomsoft. com 
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密 和 爸 人 破解 服务 厨 


客户 机 


5.12 分 布 式 密码 破解 示意 图 


S.3.9 内 存 取证 软件 


对 内 存 中 的 电子 数据 进行 提取 和 分 析 已 经 成 为 电子 数据 取证 过 程 中 越 来 越 重 要 的 工 
作 ,特别 是 对 一 些 不 能 关机 的 计算 机 信息 系统 尤为 重要 。 目 前 Encase、FTK、X-ways 等 主 
流 取 证 工具 都 文 持 对 内 存 数据 的 提取 和 分 析 。 

在 内 存 取证 软件 中 ,开源 软件 Volatilityo 久负盛名 , 它 是 一 个 框架 式 的 开放 平台 ,主要 
功能 就 是 提取 内 存 中 的 电子 数据 ,可 以 识别 大 多 数 的 内 存 镜像 格式 ,如 dd、dump 文件 、 
VMware 快照 .LIME 格式 等 。 


5.3.10 在 线 取 证 软件 


某 些 情况 下 ,例如 在 IDC 机 房 中 取证 ,这 种 情况 下 往往 不 允许 关闭 服务 下 以 进行 分 析 。 
需要 在 “ 热 ” 状 态 下 对 嫌疑 计算 机 设备 进行 数据 提取 和 分 析 。 在 线 取 证 软件 (Live Forensic) 
可 以 对 同一 局 域 网 的 计算 机 进行 在 线 分 析 、 内 存 分 析 和 镜像 获取 ,这 种 软件 需要 文 持 
Windows、Mac OS 和 Linux 各 版 本 。 同 时 文 持 对 数据 库 服务 硕 、 云 存 钳 和 邮件 服务 硕 的 在 
线 取 证 。 所 有 数据 访问 均 采 用 与 保护 ,确保 不 会 修改 嫌疑 计算 机 中 的 任何 数据 。 例 如 
F-Response 就 是 一 蒜 基 于 网 络 的 在 线 取 证 工具 。 


5S.3.11 关联 分 析 工 具 
大 数据 分 析 , 除 了 使 用 数据 库 和 SQL 语句 进行 关联 分 析 外 ,还 可 以 使 用 专业 的 关联 分 


DD http://www. volatilityfoundation. org 
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析 工 具 。 目 前 ,大 数据 图 形 关 联 分 析 首 选 工 具 是 美国 IBM 公司 的 Analyst?s Notebook, 这 
是 在 世界 上 处 于 领导 地 位 的 分 析 软 件 ,拥有 广大 的 客户 群 ,超过 1500 个 组 织 及 公司 在 使 用 ， 
界面 如 图 5. 13 所 示 ,主要 用 于 调查 .分 析 复杂 的 信息 和 关系 。 


Eils Edit Wigs Helyp 


di 


Initial Attack Planning 


- a 四 
i 
a 


We "mr 
. 


mV 


图 5.13 “9 。11” 黎 击 者 关系 网 


“9。11? 事 件 中 ,美国 调查 部 门 借助 I2 AN6 迅速 的 理 清 了 您 怖 分 子 
之 间 错 综 复 杂 的 关系 ,迅速 地 将 在 逃 恐 怖 分 子 逮 捕 归 案 。 驻 伊美 军 2003 
年 购买 100 套 AN6 用 于 追捕 本 。 拉 登 。 图 5. 13 为 美军 用 AN6 软件 分 析 
的 “9。11” 事 件 准 击 者 关系 网 。 


案例 


5.4 开源 和 免费 取证 软件 


开放 源 代码 (Open Source) 软 件 , 徊 称 开源 软件 。 开 源 软 件 公 开 其 源 代 人 码 , 人 允许 用 尸 利 
用 源 代 码 在 其 基础 上 修改 和 和 学习。 但 是 开源 软件 仍然 有 版 权 , 受 到 法 律 你 护 , 如 条 在 开源 的 


中 2011 年 ,IBM 收购 了 Analyst?s Notebook 的 开发 公司 I2 ,将 Analyst?s Notebook 收入 旗下 。 
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基础 上 加 以 发 展 任何 派生 版 本 、 修 改版 本 或 第 三 方 版 本 用 于 重新 分 发 ,其 全 商用 , 虱 会 受到 


免费 软件 (Free Software)。 倪 费 软 件 不 一 定 公 开源 代码 ,但 是 承诺 特定 版 本 不 会 收费 
(可 能 功能 会 受 限 )。 


对 于 昂 贯 的 商用 电子 数据 取证 工具 ,开源 和 免费 取证 工具 无 疑 对 于 初学 者 或 者 学 生 ,是 
有 看 重要 学 习 意 义 的 。 事 实 上 ,在 众多 电子 数据 取证 专家 的 努力 下 ,开源 和 免费 的 取证 软件 
就 产品 功能 和 性 能 而 言 , 并 不 逊色 于 商用 软件 ,甚至 在 某 些 特定 功能 方面 保持 看 领先 。 从 茶 
种 意义 上 说 ,熟练 地 使 用 开源 和 免费 取证 软件 ,可 以 完成 所 有 的 取证 工作 。 

1，TSKU 

开源 取证 软件 The Coroner”’s Toolkit(TCT) 开 发 于 2000 年 8 月 ,作者 为 Dan Farmer 
和 Wietse Venama。 了 CT 提供 了 包括 数据 恢复 、 时 间 分 析 等 4 种 功能 。 目 前 TCT 已 经 并 
入 TASK 项 目 中 。 

THE SLEUTH KIT(TSK) 是 开放 源 代 码 取 证 软件 ,可 以 运行 于 Linux、Mac OS X、 
Windows 等 操作 系统 上 。TSK 可 以 用 于 分 析 Windows 和 UNIX/Linux 文件 系统 。 它 文 
持 从 多 种 文件 系统 中 恢复 数据 ,包括 NTFS, FAT, UFS 1, UFS 2，Ext2FS，Ext3FS， 
Ext4，HFS，ISO 9660, and YAFFS2 等 ; 文 持 dd AFF、Eol 等 多 种 镜像 。 

Autopsy Forensic Browser 是 TSK 中 工具 软件 的 图 形 界 面 。 它 可 以 在 一 个 只 读 环 境 
中 对 分 区 中 的 文件 ,删除 的 文件 ,目录 、 数 据 和 镜像 的 元 数据 进行 分 析 。 

2. OS X Auditor® 

OS X Auditor 是 一 款 运 行 于 MAC OS X 的 软件 ,可 以 分 析 Safari 历史 记录 、 火 狐 浏 览 
第 cookies .Chrome 历史 记录 、 社 交 与 邮件 账户 以 及 系统 中 的 Wi-Fi 访问 总 等 数据 。 

3. DFF 包 

Digital Forensics Framework (DFF) 是 一 个 简单 但 强大 的 电子 数据 取证 软件 ,DFF 文 
持 NTFS, EXTFS 2/3/4, FAT 12/16/32 文件 系统 的 分 析 。 可 以 分 析 注 册 表 、 电 子 邮 箱 、 
内 存 数 据 。 

4. 自 启 动 取 证 环境 (LiveCD) 

由 于 开源 和 免费 的 取证 软件 大 多 在 Linux 下 开发 。 因 此 自 启动 取证 环境 的 LiveCD 成 
为 集成 取证 工具 的 最 好 载体 。LiveCD 光盘 中 可 以 定制 各 种 取证 工具 ,满足 不 同 的 取证 需 
要 。 而 且 由 于 是 开源 和 人 免费 的 ,甚至 可 以 修改 某 些 程序 ,增强 功能 。LiveCD 取证 工具 的 典 
型 代表 有 SANS Investigative Forensics Toolkit (SIFT®), DEFT®Y, Computer Aided 


http:/ www. porcupine. org/ forensics/ 
https: //github. com/jipegit/ OSX Auditor 
http:/ /www. digital-forensic. org/ 


http:/ /digital-forensics. sans. org/community/ downloads 


@OSOOc 


http://www. deftlinux. net/ 
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Investigative Environment (CAINE2, 如 图 5.14 所 示 )、Kali% 等 多 种 。 
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Preferences bp BE Disks 国 Esximager 
EE 时 File Manager PCManFM 图 EwfMount 
图 GParted 首 Guymager 
GCG Logout 二 Midnight Commander 国 Vmdkmnt 
[OR 和 国生 写 MountManager 国 Xmount D2217 @ 


图 5.14 Computer Aided Investigative Environment (CAINE) 界 面 


5.5 未 来 取证 工具 的 发 展 


未 来 的 取证 工 part 设备 的 发 展 而 逮 步 发 展 。 例 如 云 取证 技术 车载 系 
统 移动 终端 等 方向 的 专用 取证 工具 会 逐渐 成 熟 。 总 体 上 看 ,器 平台 、 多 线程 、 分布 式 是 取证 

- 具 未 来 的 发 展 方 回 。 repeatersy 
统 ) ,高 度 “系统 化 ”, 以 实验 室 管 理 系 统 为 核心 ,将 实验 室 的 各 个 市 点 的 运算 资源 统筹 安排 。 
改变 目前 以 “案例 ”或 “取证 设备 ”为 单元 的 模式 ,而 是 以 取证 要 求 和 运算 资源 为 单元 。 将 技 
术 难 度 隐 藏 在 系统 之 下 ,使 整个 系统 多 用 化 ,降低 取证 的 技术 门槛。 使 得 电子 数据 取证 成 为 
每 个 执法 人 员 痢 能 操作 的 必要 技能 。 


D http://www. caine-live. net/ 
®@ https://www. kali. org/ 


. 概述 美国 的 电子 数据 取证 工具 标准 。 
， 请 列 出 至 少 三 种 移动 终 闪 取 证 设备 。 
， 介质 取证 软件 主要 有 哪 几 种 ? 

， 试 述 Live CD 开源 取证 工具 的 使 用 。 


老 


题 
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电子 数据 取证 技术 


本 章 学 习 目 标 
数字 时 间 取 证 的 规律 和 方法 
Windows 重点 目录 
浏览 器 取证 技术 
注册 表 取 证 技术 
电子 邮件 取证 技术 
回收 站 取证 技术 
聊天 应 用 取证 技术 
内 存 取 证 技术 
日 志 取 证 技术 
Mac OS 的 取证 技术 
UNIX/Linux 的 取证 技术 
移动 终端 的 取证 技术 
网 络 电 子 数据 取证 技术 
密码 破解 技术 
Office 文件 取证 技术 
数字 图 像 取证 技术 
逻辑 数据 恢复 技术 
硬件 修复 技术 
数据 库 取 证 技术 
虚拟 仿真 技术 
在 第 2 章 中 ,已 经 讲解 了 电子 数据 取证 的 基础 知识 。 电 子 数据 取证 技术 有 两 个 特点 : 
一 是 涉及 的 领域 广泛 ,凡是 计算 机 科学 知识 都 可 以 作为 取证 技术 使 用 ; 二 是 实践 操作 要 求 
高 ,在 了 解 理论 的 基础 上 ,要 利用 工具 完成 各 个 方面 的 取证 工作 。 这 就 使 得 电子 数据 取证 技 
术 种 类 票 多 且 学 习 难 度 较 大 。 本 章 从 应 用 出 发 ,按照 操作 系统 分 类 和 主要 取证 应 用 详细 讲 
解 取证 技术 。 
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6.1 数字 时 间 取 证 


时 间作 为 一 种 重要 的 标记 ,可 以 成 为 邻 人 信服 的 证 据 。 时 间 是 进行 其 他 取证 的 基础 , 确 
定时 间 是 电子 数据 取证 首要 的 不 可 或 缺 的 环节 ; 时 间 本 喘 也 是 重要 的 证 据 ,保存 在 硬盘 或 
文件 中 的 时 间 ( 又 可 以 称 为 时 间 惟 ,Timestamp) ,可 以 作为 证 据 来 确定 行为 和 后 果 。 

如 同 现实 世界 中 的 时 间 一 样 ,电子 数据 取证 中 的 时 间 总 是 令 人 迷惑 的 。 每 个 文件 都 有 

不 同形 式 的 时 间 戳 : 修改 时 间 戳 .访问 时 间 戳 .创建 时 间 戳 ,还 有 日 志 里 的 时 间 截 ,甚至 压缩 
入 光盘 里 的 时 间 戳 。 有 经 ile 需要 大 量 的 
知识 和 经 验 加 上 实际 验证 才能 获得 一 个 符合 司法 规定 的 时 间 证 据 。 


6.1.1 取证 环境 时 间 校 正和 同步 


取证 环境 的 时 间 校 正和 同步 主要 分 两 方面 : 

取证 设备 的 操作 系统 时 间 要 与 标准 时 间 同 步 ,确保 取证 的 绝对 时 间 准 确 。 这 是 为 了 
确保 取证 环境 时 间 不 会 影响 到 取证 朗 备 的 准确 度 ,例如 镜像 和 分 析 的 时 间 戳 。 

取证 工具 的 时 间 设 置 人 - 致 ,例如 
Encase 取证 时 ,要 将 时 区 设置 为 与 被 取证 系统 的 时 区 一 臻 。 这 是 为 了 确保 被 取证 
系统 的 时 间 解 析 是 符合 标准 的 。 


6.1.2 取证 目标 的 时 间 检 查 


取证 目标 的 时 间 检 查 注意 以 下 因素 : 

1. 系统 时 间 是 否 准 确 

这 需要 查看 CMOS 时 间 与 标准 时 间 的 差异 。 如 果 系 统 时 间 不 准确 ,文件 时 间 也 会 相应 
不 准确 ,需要 注意 侦 移 ,防止 因为 俩 移 造 成 误 判 。 

2. 时 区 和 夏 时 制 的 影 啊 

时 区 和 夏 时 制 往往 被 忽略 ,检查 时 不 但 要 通过 系统 时 间 查 看 ,还 要 查看 注册 表 中 当前 
时 区 。 

3. 用 户 是 否 重 新 设置 过 时 间 和 设置 系统 时 间 的 次 数 

恶意 用 户 为 了 掩盖 上 自己 的 行为 ,往往 修改 系统 时 间 后 进行 非法 操作 ,然后 再 将 系统 时 间 
改 为 正常 来 逃避 打击 。 还 有 联网 时 是 否 进 行 过 校正 系统 的 时 区 。 

4. 进程 和 应 用 程序 写 人 的 时 间 截 

(1) 不 同 操作 系统 .不 同文 件 系统 和 不 同 的 格式 化 工具 ,者 可 能 影 响 时 间 。 文 件 系统 的 
变种 或 亚 种 可 能 会 改变 时 间 的 标准 。 例 如 使 用 PQmagic 这 类 [ 具 创 建 硬盘 。 另 外 , 字 节 顺 
序 ( 大 端 和 小 端 ) 也 会 导致 时 间 被 误 读 。 

(2) 某 些 防 病毒 软件 对 文件 进行 扫描 时 ,最 后 访问 时 间 会 发 生 改 变 。 而 某 些 防 病 毒 软 
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件 在 完成 病毒 扫描 后 会 恢复 最 后 访问 时 间 。 如 果 在 扫描 过 程 中 一 些 感染 病毒 的 文件 被 修 
复 ,那么 这 些 文件 的 修改 时 间 和 最 后 访问 时 间 都 会 更 新 。 

(3) 很 多 软件 为 了 加 快 数据 的 检索 速度 ,都 使 用 了 索引 (Index) 功 能 ,例如 Google 桌 
面 、Baidu 桌面 .Windows 桌面 搜索 等 ,索引 功能 会 改变 时 间 截 ,因此 需要 特别 注意 。 

(4) 在 不 同 格式 分 区 移动 或 者 复制 文件 ,它们 的 M-A-C 时 间 可 能 会 发 生 多 种 变化 ,这 
需要 通过 实验 来 验证 ,而 不 能 迷信 资料 的 论断 。 

5. 取证 工具 和 人 员 的 影响 

系统 时 间 .文件 时 间 和 本 地 时 间 的 相互 转换 是 隐藏 在 系统 和 应 用 软件 之 后 的 。 这 个 过 
程 是 由 系统 或 者 软件 开发 者 决定 的 。 取 证 人 员 使 用 取证 工具 时 ,一 定 要 充分 考虑 到 时 间 的 
转换 过 程 ,一 旦 这 个 转换 过 程 发 生 错误 ,那么 很 容易 误导 取证 人 员 。 例 如 文件 时 间 被 误 认为 
本 地 时 间 ,取证 工具 自动 增加 或 者 减少 时 区 偏 移 , 会 导致 结果 错误 。 从 实践 中 看 ,即使 权威 
的 取证 工具 也 会 发 生 此 类 错误 2。 


6.1.3 时 间 的 更 新 规律 


文件 和 文件 夹 在 移动 .复制 .剪贴 等 常见 操作 下 ,时 间 会 有 不 同 的 变化 规律 ,如 表 6. 1 所 
示 。 这 些 变 化 规律 取决 于 操作 系统 和 文件 系统 ,在 取证 时 要 严格 注意 。 
表 6.1 不 同 操 作 下 文件 时 间 更 新 的 特点 
操 作 创建 时 间 (C time) 修改 时 间 (M time) | 访问 时 间 (A time) 


重 命名 或 者 修改 属性 | 不 变 不 变 不 变 
文件 夹 内 文件 变化 不 变 更 新 更 新 
关内 移动 不 变 不 变 不 变 
跨 着 移动 更 新 不 变 更 新 
复制 文件 更 新 (如 有 果 和 覆盖 同名 文件 则 不 更 新 ) ”| 不 变 ( 目 标 文件 ) 更 新 
剪贴 文件 不 变 不 变 ( 目 标 文件 ) 更 新 


这 里 的 复制 文件 和 剪贴 文件 均 包 合 郑 内 复制 .剪贴 和 里 着 复制 . 硼 贴 。 同 时 上 述 规则 适 
用 于 FAT/NTFS 文件 系统 。 唯 一 不 同 的 是 ,FAT 文件 系统 访问 时 间 只 包含 日 期 ,在 把 文 
件 转 移 或 者 复制 到 NTFS 系统 时 ,访问 时 间 会 标识 当前 日 期 和 时 间 。 

文件 夹 的 时 间 更 新 不 同 于 文件 , 它 有 看 以 下 规律 。 

文件 夹 在 不 同 操作 下 时 间 变 动 规律 不 同 ,文件 夹 在 重 命 名 、 修 改 属 性 和 文件 夹 内 容 修改 
时 ,时 间 更 新 规律 如 表 6. 2 所 示 。 


中 ”Encase V4 在 运行 浏览 项 脚本 解析 IE 历史 记录 时 会 错误 增加 时 间 偶 移 。 
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表 6.2 文件 夹 更 新 规律 
操 作 创建 时 间 (C time) 修改 时 间 (M time) 访问 时 间 (A time) 
重 命 名 或 者 修改 属性 不 变 更 新 
修改 内 容 更 新 (NTFS) 不 变 (FAT)| 更 新 (NTFS) 不 变 (FAT) 


6.1.4 时 间 取 证 的 基本 判断 规则 


时 间 取 证 具有 一 定 的 基本 判断 规则 : 

(1) 如 果 修 改 时 间 等 于 建立 时 间 ,那么 文件 是 原始 文件 , 既 没 有 被 修改 也 设 有 被 剪贴 。 

(2) 如 果 修 改 时 间 早 于 建立 时 间 , 则 文件 被 复制 或 者 移动 过 。 

(3) 如 果 在 硬盘 上 批量 的 文件 具有 很 近 的 访问 时 间 , 这 些 文件 极 有 可 能 被 同一 个 工具 
软件 扫 摘 过 ,如 杀毒 软件 。 如 果 在 一 个 文件 夹 中 的 一 些 图 像 和 视频 文件 有 很 近 的 访问 时 间 ， 
并 且 没 有 其 他 的 图 像 和 视频 文件 具有 相似 的 访问 时 间 , 则 这 些 图 像 和 视频 文件 极 有 可 能 被 

-个 图 像 和 视频 预览 工具 访问 或 者 打开 过 ,例如 用 Windows 资源 管理 冀 以 缩 略 图 的 方式 
查看 。 
(4) 在 一 个 文件 夹 中 ,如 果 一 些 文件 的 修改 时 间 等 于 创建 时 间 ,并且 有 很 近 的 创建 时 间 
或 者 修改 时 间 , 那 么 这 些 文件 有 可 能 是 从 网 上 批量 下 载 的 。 

(5) 文件 撞见 的 时 候 , 文 件 创建 时 间 为 拷贝 的 时 间 ,文件 修改 时 间 与 源 文 件 一 致 。 

(6) 文件 下 载 的 时 候 , 文 件 创建 时 间 为 开始 下 载 的 时 间 ,文件 修改 时 间 为 下 载 结束 的 时 
间 。 注 意 : 使 用 IE 下 载 时 是 先 下 载 到 临时 目录 上 青 找 贝 。 

(7) 压缩 文件 解压 时 ,通常 情况 (winrar、winzip) 下 文件 的 创建 时 间 为 解压 时 间 ,文件 修 
改 时 间 与 压缩 前 的 文件 一 致 。 


分 


工具 使 用 


时 间 取 证 的 工具 一 般 有 DCode 和 DateDecoder。 前 者 是 图 形 化 界面 ， 
易于 理解 ; 后 者 虽然 是 终端 命令 ,但 是 可 以 将 时 间 与 其 表现 形式 双 辣 


6.1.5 文件 系统 创建 时 间 " 


1. FAT 文件 系统 确定 卷 创 建 时 间 
在 FAT 分 区 中 ,如 果 设 置 卷 标 ,在 FAT 表 头 会 出 现 一 个 卷 标记 录 , 如 图 6.1 所 示 。 


@” 刘 沿 阳 . 数字 时 间 取 证 技术 原理 与 应 用 . 北京; 信息 网 络 安全 ,2010(3) : 47-49. 
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Of fset 0 


000C00000 
000C00010 
000C00020 
000CO00030 
000CO00040 
000CO00050 


3 8 9 BA 日 
33 32 20 20 20 :20 -20 .20 08 
00 00 00 01 éE 3B 3E 00 00 
00 00 00 00 00 00 00 00 00 
00 00 00 00 00 00 00 00 00 
00 00 00 00 00 00 00 00 00 
00 00 00 00 00 00 00 00 00 


图 6.1 FAT32 卷 标 


c DEFENSE 


00 


00 


00 


00 | 四 AT32  ..... 


相对 于 这 个 记录 的 偶 移 量 0x16 是 32 位 Windows/DOS 文件 时 间 格 式 表示 的 最 后 与 人 
时 间 ,也 就 是 卷 更 新 (格式 化 ) 的 本 地 时 间 。 此 例 中 016E3B3E 二 2011 年 1 月 27 日 13:48:02， 


如 图 6. 2 所 示 。 


JJ DCode v4.02a (Build: 9306) 


/DCODE 


Convert Data to Date | Time Values 


遗憾 的 是 ,如 果 FAT 未 设置 卷 标 ,将 无 法 得 知 卷 建立 时 间 。 


Add Bias: |urc 00:00 ”| 


[Window an tep 


Decode Format: |ms bos: 32 bit Hex Value | 


Example: B561A436 


Value to Decode: [oi6E383E [al 


Date & Time: [Thu, 27 January 2011 13:48:02 Local EE 
Cancel | Clear | : Decode | 


图 6.2 使 用 DCode 解析 32 位 Windows/DOS 时 间 


2. NTFS 文件 系统 卷 M-A-C 时 间 

在 格式 化 NTFS 文件 系统 时 ,就 建立 了 主 文件 表 (MFT), 主 文件 表 (MFT) 由 MFT 项 
组 成 。MFT 项 由 涉 和 属性 列表 组 成 。MFT 属性 中 的 标准 属性 ($STANDARD _ 
INFOMATION) 内 租 了 64 位 Windows/FILETIME 时 间 表 示 的 M-A-C-E 时 间 。 因 为 
NTFS 将 分 区 信息 以 文件 形式 保存 , $ MFT 是 MFT 表 的 系统 元 文件 ,0 号 MFT 项 就 是 对 
自生 进行 描述 。 在 $ MFT 中 偏 移 量 0x50 处 开始 的 32 字 节 (4 组 ) 存 储 的 是 M-A-C-E 时 
间 ,时 间 格 式 是 64 位 Windows/FILETIME 时 间 格 式 ,如 表 6. 3 所 示 。 
表 6.3 64 位 Windows/FILETIME 时 间 的 数据 结构 


相对 偏 移 量 
0x00-0x07 
0x08-0x0F 
Oxl0-0xl17 
0xl8-0xlF 


节点 修改 时 间 
访问 时 间 
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号 MFT 项 表示 NTFS 卷 创 建 时 间 , 因 此 M-A-C-E 时 间 为 同一 个 时 间 。 此 例 中 23 
0D A9 6D 1D 7F CB 01 二 2010 年 11 月 8 日 16:17:48 GMT 十 8, 如 图 6.3 所 示 。 


Of fset F267 8 9 BCTCDE Tt | 入 ] ~ | 
ncoooo0000 四 49 4C 45 30 00 03 00 2A 9F 50 61 00 00 00 00 , BILEO.. .#¥Pa.... 
DCo000010 01 ee 
DCo000020 
DCco000030 
0CO000040 nnn AB. 0- ee 
co0000050 3 = 本 ED 人 FF CPUTI 
DCon000n06n0 EUROTT 下 
DCo000070 
onceo000080 
DCo000090 
DCon000gan0 hy EE ll a 
0cO0000B0 05 00 00 00 00 00 05 00 23 oD Ne | 


图 6.3 64 位 Windows/FILETIME 时 间 格 式 的 存储 结构 


3. Ext3 文件 系统 卷 M-A-C 时 间 
Ext3 文件 系统 的 前 身 是 Ext2 ,Ext2 的 设计 者 主要 考虑 的 是 文件 系统 性 能 ,没有 考虑 文 
件 的 元 数据 (例如 权限 、 创 建 时 间 等 )。Ext3 文件 系统 是 它 的 升级 版 本 ,是 基于 UFS 文件 系 
统 设计 的 ,因此 具有 UFS 的 很 多 特性 (例如 时 间 格 式 )。 由 于 Ext3 的 块 大 小 可 能 会 为 1024 
字 节 、2048 宇 节 或 4096 字 节 ,因此 也 导致 存放 文件 系统 元 数据 的 超级 块 的 地 址 是 随 之 变化 
的 。 当 块 大 小 是 1024 字 节 (2 悄 区 ) 时 ,0 号 块 是 引导 块 或 者 保留 块 ,超级 块 起 始 于 1 号 块 ; 
人 2048 字 节 (4 鹿 区 ) 时 ,0 号 块 的 前 两 个 悄 区 是 引导 程序 或 者 保留 馈 区 ,超级 块 位 
0 号 块 的 后 两 个 局 区 ; 当 块 大 小 是 4096 字 节 (8 局 区 ) 时 ,0 号 块 的 前 两 个 扇 区 是 引导 程 
deh 区 ,2 一 3 号 两 个 户 区 为 超级 块 , 其 余 是 空闲, 如 表 6.4 所 示 。 


表 6.4 Ext3 文件 系统 的 时 间 格 式 


0x2C-0x2F 最 后 挂 载 时 间 ,CVUNIX 时 间 格 式 
0x30-0x33 最 后 写 人 时 间 ,C/UNIX 时 间 格 式 
Ox40-0x43 最 后 检查 时 间 ,C/UNIX 时 间 格 式 


0x108-0xl10B 文件 系统 创建 时 间 ,C/UNIX 时 间 格 式 


可 以 从 0x108-0x10B 获得 文件 系统 创建 时 间 , 也 就 是 卷 创 建 时 间 。 此 处 卷 创建 时 间 == 
95 84 79 4D==2011 年 3 月 11 日 10;10;29 GMT 十 8, 如 图 6.4 所 示 。Ext4 文件 系统 与 
Ext3 文件 系统 只 是 增加 日 志 功 能 ,其 他 没有 变化 。 

4. HFS 十 文件 系统 确定 卷 M-A-C 方法 

格式 化 HFS 十 文件 系统 时 ,生成 文件 系统 卷 头 。HFS 十 文件 系统 卷 涉 位 于 2 号 届 区 ， 
占用 1 个 扇 区 ,类 似 于 FAT 和 NTFS 的 DBR。Mac OS 系统 使 用 大 端 字 节 顺序 存储 数据 ， 
如 表 6. 5 所 示 。 
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Offset es 12 13 14 15 
00000001024 | 最 后 写 人 123D4C 00 
00000001040 时 间 02 00 00 00 
00000001056 Us 

00000001072 |B2°94 79°4D 

00000001088 oor 7 
00000001104 00 00 0 3C 00 00 00 
00000001120 FS8 14 4A 6E 
00000001136|| 最 后 检查 8D B7 00 00 
00000001152|| 00 00 00 00 
00000001168 

00000001184 

00000001200 | | 

00000001216 00 00 00 00 8 

00000001232| 00 00 00 00 | 文件 系统 


00000001248| 08 00 00 00 | 创建 时 间 

00000001264| 12 Fl 4A 55 ; : 
00000001280 00 00 00 00 
00000001296| 01 82 26 00 02 82 26 00 03 98922606 00 04 3892 26 00 
00000001312 05 82 26 00 06 82 26 00 07 82 26 00 08 82 26 00 
D00000001328 09 82 26 00 O08 82 26 00 DB 82 26 O00 OC 82 26 00 
00000001344 0D 86 26 00 00 00 00 00 00 00 00 00 00 00 00 08 
000000013é0| 00 00 00 00 00 00 00 00 00 00 00 00 1C 00 1C 00 


图 6.4 块 大 小 是 1024 字 节 (2 局 区 ) 的 超级 块 内 容 中 包含 的 时 间 信 息 


表 6.5 HFS 十 文件 系统 的 时 间 格 式 


Ox10-0x13 4 创建 时 间 ,C/UNIX 时 间 格 式 
Oxl14-0x17 4 修改 时 间 ,C/UNIX 时 间 格 式 
0x18-0xlC 4 备份 时 间 ,C/UNIX 时 间 格 式 
0xlD-0xlF 4 最 后 检查 时 间 ,C/UNIX 时 间 格 式 


这 四 个 时 间 中 ,创建 时 间 以 本 地 时 间 保 存 , 其 他 时 间 以 GMT/UTC 时 间 保 存 。 此 例 中 
卷 创 建 时 间 =C9 8E 89 18=2011 年 2 月 26 日 10:40:24 Local, 如 图 6.5 所 示 。 


UUUUUU0400 |48 zB UU 04 80 U0 21 U0 48 46 53 4 0U0 U0 00 20 H+ | | HFESJ F 


000000410 | 00 00 00 ooles BE 38 98 El FIle ELI 
000000420 让 T2777 Cor - ee 
000000430 最 后 检查 是 si~” 8 
000000440 时 间 ] VU 
000000450 00 00 00 OO Oo 

000000460 ,00 00 00 00 00 00 00 00 94 A2 33 BA 98 EC 1A 2D 1¢311i - 
000000470 |00 00 00 00 00 04 F0 00 00 04 FO 00 00 00 00 4F 5 8 0 
000000480 |00 00 00 01 00 00 00 4F 00 00 00 00 00 00 00 O00 0 


D000000490 |00 00 00 00 00 00 00 00 00 00 O00 00 00 00 00 00 


6.5 HFS 十 文件 系统 的 时 间 存 储 


6.1.6 操作 系统 安装 时 间 


Windows 操作 系统 初始 安 婆 日 期 保存 在 注册 表 HKEY _LOCAL_MACHINE\\ 
SOFTWARE\Microsoft\ Windows NT\CurrentVersion 的 InstallDate 键 中 。 时 间 以 C/ 
UNIX 时 间 格 式 存储 ,如 图 6.6 所 示 。 

解析 后 ,初始 安装 日 期 0x4CD7B6A8( 大 端 ) 二 2010 年 11 月 8 日 16:36:56 GMT 十 8。 
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苹 注册 去 编辑 器 se EE" . a 
文件 (PD _ 鲍 加 (E) 查看 V) ”收藏 去 (A) 帮助 HI -一 一 一 一 一 一 一 一 - 
mi a | 起 CurrentVersion 
D > oi 


Ee InstallDate 
数值 数据 WD): 
| @ 十 六 进 制 | 0) 
辐 十 进 制 各) 


取消 


b- 上 DiskDiagnostics 2d]EditionID 

-| drivers.desc || | ab|InstallationType 

I 矶 InstallDate 

ab| pathName 

b - 园 EMDMgmt ES|productld 

一 内 Event Viewer ab| productName 

ee 出 Font Drivers 有 ab| Regi steredOrganization 
™ - 国 Font Management Re 

i - 国 FontDPI 


计算 机 NHKEY LOCAL Tree ee 


图 6.6 保存 在 注册 表 中 的 Windows 操作 系统 初始 安装 日 期 


6.1.7 开机 和 关机 时 间 


计算 机 的 开机 和 关机 都 是 一 个 过 程 。 这 是 一 个 时 间 段 ,而 不 是 一 个 时 间 点 。 一 方面 , 答 
软 公 司 没 有 公开 开机 和 关机 时 间 戳 的 官方 文档 ,因此 只 能 从 系统 运行 状态 中 来 获得 开关 机 
的 时 间 。 男 一 方面 ,单纯 的 一 个 开关 机 时 间 惟 会 受到 多 种 因 系 的 影响 ,因此 需要 利用 不 同 的 
时 间 戳 来 验证 开关 机 的 状态 是 否 正 篆 ,开关 机 的 时 间 是 否 合 理 , 能 否 作为 证 据 使 用 。 

在 Windows 系统 中 ,有 多 种 方法 可 以 验证 开机 的 时 间 。 

1. 开机 时 间 

(1) 日 志 中 的 开机 时 间 

Windows 的 系统 日 志 记 录 开 关机 的 日 志 信 息 。 其 中 事件 ID=6005 记录 事件 日 志 局 动 
时 间 , 也 可 以 认为 系统 的 启动 时 间 。 事 件 ID=6006 记录 事件 日 志 停 止 时 间 ,也 可 以 认为 是 
系统 关闭 时 间 。 事 件 ID 二 6008 记录 异常 关闭 。 事 件 ID 二 6009 记录 在 启动 过 程 中 的 操作 系 
统 版 本 和 其 他 系统 信息 。 例 如 (Windows 7 X64) ,时 间 ID=6005 记录 于 2011 年 2 月 24 日 
12:58:30 GMT 十 8, 如 图 6.7 所 示 。 

但 是 多 种 因 系 如 断 电 死机 都 可 能 会 影 啊 系统 日 志 。 例 如 瞬间 断 电 会 不 记录 事件 日 志 
(对 于 笔记 本 这 类 的 有 内 置 电 源 的 ,通过 关机 键 会 正常 关机 ,这 时 候 就 记录 ) 

(2) 用 户 登 录 时 间 

Windows 操作 系统 的 用 户 登 录 信 息 保 存在 “HKEY_LOCAL_MACHINE\SAM\SAM 
\Domains\account\Users\ Names\%‰ RID%\” 中 ,如 表 6.6 所 示 , RID 是 相对 标识 符 。 由 
“HKEY_LOCAL MACHINE\SAM\SAM\ Domains\account\ Users\Names\Names\ 用 户 
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记录 时 间 (D): 2011/2/24 12:58:30 
任务 类 别 (VW: 无 

关键 字 ( 向 : 经典 

计算 机 (R): X61-PC 


图 6.7 事件 ID=6005 记录 事件 日 志 启 动 时 间 
名 2? 指定。 此 处 记录 了 用 户 登 录 的 时 间 人 信息, 也 可 以 认为 是 开机 时 间 的 一 种 表现 。 
表 6.6 注册 表 中 的 Windows 操作 系统 用 户 登 录 和 权限 信息 


键 值 说 明 
HKEY LOCAL MACHINE\SAM\SAM\Domains\account\ Users\Names\ %RID%N\F | 用 户 登 录 信 息 
HKEY LOCAL MACHINE\SAM\SAM\ Domains\account\ Users\ Names\ %% RID%\V 用 户 权 限 信息 


例如 ,在 Windows 7 X64 中 如 图 6.8 所 示 。 


4 SAM 
sa 
a | 山 Domains 
| a - 葛 Account 
| : b- | Aliases 
| b 师 Groups 
:有 000001F5 


:000003E8 
:出 000003ED 
2- Names 


一 看 _vmware user_ 


册 Administrator 


| |! -一 
| 计算 机 MHKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\X61 


图 6.8 用 户 “X61” 的 RID 为 "0x3E8” 
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用 户 “X61” 的 RID 为 “0x3E8”。 在 “HKEY LOCAL _ MACHINEAN\SAMAN\ASAMAN 
Domains\account\Users\Names\000003E8\F”( 如 图 6.9 所 示 ) 中 是 用 户 登 录 信 息 。 


套 注册 去 编 辑 器 | | 


文件 (站 ” 编 各 ([E) 间 看 (V) 收藏 夫 (A) 帮助 (H) 
及 HKEY_CURRENT_USER 称 尖 型 
4 .用 HKEY LOCAL MACHINE 
: -而 BCD00000000 
-于 HARDWARE 
14- 国 SAM 
:| a SAM 
i a - BB Domains 
a- Account 
b “J Aliases | UH): 
数值 数据 0): 


REG SZ 
REG _BINA... 
P| UserPasswordHint REG BINA... 
REG BINA... 


I 时 Groups 


-- 国 000003ED 
2- Names 


-I _vmware user_ 


计算 机 MHKEY_LOCAL MACHINE\SAM\SAM\Domains\Account\Users\ UWE 


图 6. 9 ”RID000003E8 键 


值 中 的 用 户 登 录 信息 


例如 在 此 例 中 最 后 登录 时 间 =D6 AD 61 81 DF D3 CB 01= 二 2011 年 2 月 24 日 12.58. 
41 GMT 十 8。 设 置 密码 时 间 =6D DB BB 11 207FCB01=2010 年 11 月 8 日 16:;:36:;:42 
GMT 十 8, 如 表 6.7 所 示 。 


表 6.7 用 尸 登录 信息 的 数据 结构 


Ox08-0x0F 最 后 登录 时 间 (64 位 Windows/FILETIME 时 间 格 式 ) 
0x18-0xlF 设置 密码 时 间 (64 位 Windows/FILETIME 时 间 格 式 ) 
0x20-0x27 账户 过 期 时 间 (64 位 Windows/FILETIME 时 间 格 式 ) 
0x28-0x2F 最 后 错误 登录 时 间 (64 位 Windows/FILETIME 时 间 格 式 ) 
0x39 0 三 活跃 账户 ,1== 不 活跃 

0x40-0x41 错误 登录 次 数 , 在 正确 登录 后 重 置 


2. 关机 时 间 

在 Windows 中 ,正和 凋 关 机 会 在 以 下 两 处 留 下 记录 。 

(1) 系统 日 志 中 的 关机 时 间 

在 Windows 系统 注销 或 者 关闭 时 ,需要 停止 事件 日 志 服 务 , 相 应 的 事件 ID 王 6006。 可 
以 认为 是 关机 时 间 ,如 图 6. 10 所 示 。 
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记录 时 间 (D): 2011/2/24 12:54:56 
任务 类 别 (W): 无 

关键 字 ( 向 : 经典 

计算 机 (R): X61-PC 


图 6.10 事件 ID=6006 对 应 关机 时 间 


(2) 注册 表 中 的 关机 时 间 

Windows 正常 关机 时 间 保 存在 注册 表 “HKLM _LOCAL_MACHINE\SYSTEM\ 
CurrentControlSet00 井 AN\Control” 的 ShutdownTime 键 值 中 ,以 64 人 位 Windows/FILETIME 
时 间 格 式 保存 。 


壕 注册 去 编 鲁 器 
六 忻 (F) 编 锡 (E) 音 看 (V) 收藏 去 (A) 帮助 (H) 
i i b 时 wcncsvc 宣称 总 型 
. p>- 出 Wdf ae] (默认 ) REG_SZ 
! WwWDi 留 ComponentizedBuild REG DWO... 0x00000001 (1) 
Windows 较 CsDBuildNumber REG_DWO... 0x00004001 (16: 
-Winlogon 觅 |CsDReleaseType REG_DWO... 0x00000000 (0) 
名 CSDVersion REG_DWO... 0x00000000 (0) 
孝 值 宅 称 人): ab]Directory REG EXPA,,. %SystemRoot96 
St | 锡 ErrorMode REG_DWO. 0x00000000 (0) 
教导 数据 中 )， 贸 NolnteractiveServices REG_DWO..。 0x00000000 (0) 


0000 De IE ce oD CA DI ce Ov EOE 咏 |ShellErrorMode REG DWO... 0x00000001 (J) 
0008 硕 shutdownTime REG_BINA.。 d5 le 56 9d ca 
ab] SystemDirectory REG 57 CA Windows\sys 


计算 机 XHKEY _ LOCAL MACHINE\SYSTENM\ControlSet001\ControNWindows 


图 6.11 Windows 注册 表 中 记录 的 关机 时 间 
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此 例 中 “D5 1E 56 9D CA D3 CB 01”==2011 年 2 月 24 日 10: 29:08 GMT 十 8, 如 
图 6.11 所 示 。 

以 上 所 述 均 为 正 篆 的 开机 和 关机 时 间 ,如 果 系 统 断 电 和 死机 ,系统 不 一 定 会 记录 时 间 更 
新 信息 。 例 如 断 电 或 者 硬 重 启 时 系统 日 志和 注册 表 中 就 不 会 记录 正常 的 关机 时 间 , 这 时 候 
就 震 要 通过 其 他 的 方法 来 获取 非 正 常 的 关机 时 间 。 


2009 年 7 月 6 日 ,菜单 位 送 检 一 人 台 便 盘 陈 监控 录像 机 。 这 侣 设备 采 
用 PC 机 架构 ,系统 为 Windows 2000 Server。 要 求 恢 复 被 人 为 删 际 的 7 
月 4 日 8:00 一 9:00 的 录像 。 经 过 检查 ,CMOS 时 间 正 常 。 通 过 恢复 ,顺利 
找到 这 些 被 删除 的 录像 文件 ,但 是 发 现 恢复 文件 的 时 间 与 当前 的 北京 时 间 
案例 相差 7 个 小 时 。 为 什么 会 出 现 这 样 的 情况 ? 


如 图 6. 12 所 示 虚 拟 启 动 这 台 计 算 机 ,发 现 此 设备 的 Windows 2000 设置 为 格林 尼 治 夏 
时 制 时 间 。 与 北京 时 间 相 差 7 个 小 时 (GMT 十 7)。EncaseV6 默认 设置 为 当地 时 区 ,如 果 不 
在 案例 开始 的 时 候 将 时 区 设置 为 机 硕 设 置 的 时 区 (格林 尼 治 夏 时 制 ) ,EncaseV6 将 会 将 当前 
的 时 间 加 上 偶 移 ,此 和 案例 中 就 是 加 了 7 个 小 时 ,从 而 导致 时 间 出 现 7 个 小 时 的 偏差 。 在 
Encase 中 将 时 区 设置 为 格林 尼 治 后 ,时 间 恢 复 正 稼 。 


和 
ET EH EE I I I I I EL TR 


日 期 /时 间 尾 性 i 和 


IST 萎 补 尼 治 平时 ， 寺 相生 ”这 了 保 ” 伦 攻 ” 阴 斯 帮 


HE 


润 天 | 合 多 国 || CH 


图 6.12 虚拟 局 动 后 查看 系统 时 间 
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使 盘 式 录像 机 由 于 离线 使 用 ,无 法 联网 同步 时 间 ,很 多 情况 下 时 间 不 准 , 还 有 由 于 人 硬盘 
录像 软件 的 原因 ,时 区 稼 第 被 设置 为 非 北 京 时 间 。 因 此 在 检查 时 需要 特别 注意 。 


6.1.8 访问 时 间 的 证 据 效力 


文件 的 属性 时 间 是 确定 文件 的 创建 ,修改 和 访问 的 重要 标记 。 在 证 据 效力 上 ,创建 时 
间 \ 修 改 时 间 \ 市 扣 修 改 时 间 部 有 和 较 强 的 证 据 力 ,而 访问 时 间 在 FAT 中 不 显示 时 间 , 以 2s 则 
阳 更 新 ,同时 访问 时 间 极 多 受到 干扰 ,因此 证 据 力 最 低 。 例 如 在 未 加 载 只 读 设 备 ,只 使 用 资 
源 管 理 豆 查看 文件 的 属性 信息 时 ,会 蓝 改 文件 的 访问 时 间 ,导致 文 件 的 证 据 力 交 失 。 

在 FATI 文 件 系统 中 ,访问 时 间 更 新 是 1 天 ; 在 NTFS 文件 系统 中 ,文件 的 最 后 访问 时 
加 的 最 大 更 新 间 隅 是 1 小 时 。 因 此 硬盘 上 文件 的 最 后 访问 时 间 都 是 不 准确 的 。 当 用 户 或 程 
序 对 茶 个 文件 执行 只 读 操作 时 ,系统 会 延缓 便 盘 上 文件 的 最 后 访问 时 间 , 但 是 会 在 内 存 中 记 
录 这 个 时 间 。 当 原 娘 的 最 后 访问 时 间 和 当前 的 最 后 访问 时 间 差 值 大 于 1 小 时 , 才 会 更 新 文 
件 的 最 后 访问 时 间 。 如 果 执 行 写 和 人 操作 ,访问 时 间 会 立即 更 新 。 这 种 更 新 策略 是 减少 频繁 
的 便 盘 庶 与 对 性 能 的 影 啊 。 


6.2 Windows 取证 


Windows 操作 系统 作为 次 及 率 最 局 的 操作 系统 ,无论 系 统 的 版 本 还 是 运行 于 其 上 的 应 
用 程序 ,都 是 数量 无 法 计数 的 。 无 论 是 便 助 高 度 集成 的 工具 ,例如 Encase、FTK、X-ways, 还 
是 值 助 专用 工具 ,例如 分 析 快 捷 方 式 的 Mitec 的 Windows File Analyzer 工具 ,完整 地 分 析 
完 一 遍 重 点 目录 和 文件 ,所 花费 的 时 间 和 精力 也 是 巨大 的 。 针 对 Windows 系统 的 电子 数据 
取证 始终 是 取证 工作 的 主流 。Windows 取证 主要 是 针对 重点 的 目录 和 文件 进行 取证 的 。 
本 市 将 对 这 些 重点 目录 和 文件 进行 详细 的 讲解 。 


6.2.1 Windows 重点 目录 ” 


Windows 的 系统 目录 ,不 同 的 版 本 默认 存放 在 不 同人 位置。 一旦 安装 完成 之 后 就 无 法 更 
改 。Windows 用 注册 表 文 件 来 存储 用 户 的 环境 信息 ,以 用 户 目 录 来 存储 用 户 的 文件 信息 。 
二 者 是 关联 的 。 

1. 用 户 目录 

在 Windows 9x/NT 之 后 的 系统 ,出 现 了 一 个 新 的 目录 一 一 用 户 目 录 , 如 表 6.8 所 示 用 
于 存储 用 户 文 件 和 配置 ,以 此 来 区 分 不 同 用 户 的 使 用 环境 和 权限 。 无 论 是 本 地 用 户 还 是 网 
络 用 户 ,第 一 次 登录 系统 ,就 会 为 用 户 生 成 一 个 用 户 目 录 。 以 后 每 当 用 户 登 录 时 ,都 会 加 载 
用 户 的 配置 信息 。 用 户 注 销 时 ,会 相应 地 伸 载 用 户 的 配置 信息 。 


巴 ” 米 佳 , 刘 浩 阳 . 计算 机 取证 技术 .北京 : 群众 出 版 社 ,2007. 
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表 6.8 不 同 版 本 的 Windows 用 户 目录 


系统 版 本 系统 默认 安装 目录 用 户 目 录 


Windows 9x Windows 无 

Windows NT WINNT WINNT\Profiles 

Windows 2000 WINNT Documents and Settings\ 用 户 名 
Windows XP Windows Documents and Settings\ 用 户 名 
Windows Vista/7/2008/8/10/2013 Windows Users 


用 户 目 录 中 包含 了 很 多 重要 文档 . 

(1) 最 近 访 问 的 文档 

最 近 访 问 的 文档 包括 用 户 最 近 访 问 的 文件 。 当 用 户 打开 一 个 目录 或 文件 ,系统 有 自动 就 
在 这 个 最 近 访 问 的 文档 目录 中 生成 一 个 这 个 文档 的 快捷 方式 。 在 开始 菜单 中 ,可 以 通过 “最 
近 访 问 的 文档 ”来 查看 最 近 15 个 打开 的 文档 。 在 Documents and Settings\《 用 户 名 )\ 
Recent 中 ,可 以 看 到 更 多 最 近 打 开 的 文档 的 快捷 方式 。 即 使 最 近 访 问 的 文档 已 经 被 删除 或 
者 移 走 ,但 是 通过 快捷 方式 ,仍然 可 以 获取 大 量 信 息 。 在 WinVista/7 以 后 ,最 近 访 问 的 文档 
已 经 被 更 名 为 最 后 访问 的 位 置 ,目录 位 于 \Users\《( 用 户 名 );\AppData\Roaming\Microsoft\ 
Windows\Recent, 

最 近 访 问 的 文档 揭示 了 用 户 最 后 和 最 经 背 使 用 哪些 文档 。 这 有 助 于 了 解 用 户 习 惯 。 通 
过 育 焦 这 些 文档 ,可 以 快速 地 开展 取证 工作 ,提取 索 件 线 受 。 

(2) 有 果 面 

用 户 目 录 中 有 个 重要 子 目 录 一 一 果 面 目录 。 果 面目 录 中 保存 了 Windows 时 面 上 的 所 
有 文件 ,不 仅 有 快捷 方式 ,还 有 存储 在 果 面 上 的 各 种 文件 。 

以 Windows XP、Windows 2000 为 例 ,时 面 上 显示 的 内 容 主 要 来 日 三 个 来 源 。 

吊 注册 表 中 的 设置 决定 了 “我 的 文档 ”“ 我 的 电脑 ”*“ 网 上 邻居 ”、“ 回 收 站 ”、“ Internet 
Explorer” 是 否 显 示 在 加 面 上 。 

“Documents and Settings\ 用 户 名 \ 划 面目 录 中 存储 的 是 用 户 特 有 的 快捷 方式 和 
XI 

BB) “Documents and Settings\All Users\ 曙 面目 录 中 存储 的 是 每 个 用 户 共 有 的 快捷 方 
式 和 文件 。 

(3) 我 的 文档 

我 的 文档 是 用 户 目 录 下 的 重要 目录 , 它 存 储 厦 用户 的 个 人 文件 。 其 中 包括 “图 片 收藏 ”、 
“我 的 视频 2“ 我 的 音乐 ?等 子 目 录 。 

(4) 发 送 到 目录 

发 送 到 目录 是 集成 在 右键 中 的 快捷 指向 。 用 户 可 以 月 定义 发 送 到 目录 中 的 指 癌 。 通 过 
人 研究 这 些 指 向 ,可 以 知道 用 户 经 常 使 用 的 文件 存储 位 置 。 

除 此 之 外 ,还 包括 临时 目录 、IE 收藏 来.Cookies 和 历史 记录 等 内 置 应 用 程序 的 目录 和 
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文件 (在 6.2.2 贡 浏览 大 取证 中 具体 介绍 ) 。 

2. 交换 文件 CSwap file) 
内 存 来 进行 应 用 。 这 个 交换 文件 又 叫做 页 文件 (Pagefile. sys), 它 存在 于 根 目 录 中 。 交 换文 
件 会 很 大 ,经 和 常会 超过 内 存 容量 。 

一 般 来 说 ,取证 人 员 面 对 的 都 是 断 电 之 后 获取 的 介质 ,也 就 是 检查 对 象 都 是 静态 的 存 
储 。 动 态 的 内 存 数据 因为 断 电 而 不 复 存 在 。 交 换文 件 可 以 部 分 地 解决 这 个 问题 ,通过 检查 
交换 文件 ,可 以 获取 文件 碎片 以 便 进 行 分 析 。 

3. 休眠 文件 (Hibernation File) 

休眠 文件 是 另外 一 个 获得 内 存 数据 的 来 源 。Windows XP 以 后 的 系统 都 支持 休眠 功 
能 。 计 算 机 进入 休眠 状态 后 ,内 存 被 转 储 到 硬盘 上 的 休 眼 文件 中 ,以 便于 系统 被 唤醒 时 迅速 
进入 系统 而 不 必 重 新 加 载 系 统 。 休 眼 文 件 保 存在 系统 根 目 录 中 的 hiberfil. sys 中 。 

因为 是 将 内 存 数据 完全 镜像 于 休眠 文件 中 ,因此 休眠 文件 的 大 小 等 同 于 系统 内 存 。 即 
使 系统 从 未 进入 休 眼 状态 , 体 眼 文件 也 将 存在 ,只 不 过 数据 都 为 0x00。 

4. 假 脱 机 打印 文件 (Print Spooling) 

Windows 中 打印 文件 时 ,会 生成 假 脱 机 打印 文件 如 表 6. 9 所 示 。 假 及 机 打印 文件 在 后 
台 以 队列 方式 目 动 运行 ,以 便 用 户 不 必 等 待 打印 结束 就 可 以 继 绥 打印 下 一 个 文件 。 当 使 用 
网 络 打印 机 时 , 假 脱 机 打印 文件 将 被 发 送 给 连接 打印 机 的 服务 器 上 。 打 印 完成 后 , 假 脱 机 打 
印 文件 会 被 系统 逻辑 删除 。 

表 6.9 不 同系 统 下 打印 池 存 储 路 径 


系 统 打印 池 目 录 
Windows NT/2000 Winnt/ system32/spool/ printers 
Windows XP/2003/Vista/7/2008/8/10/2013 Windows/ system32/spool/ printers 


打印 机 以 RAW 和 EMEF 两 种 模式 来 进行 打印 。RAW 模式 指 的 是 原始 图 像 格 式 。 
EMF 模式 ,图像 将 被 转换 为 EMF(Microsoft Enhanced Metafile) 格 式 , EMF 不 是 单独 的 文 
件 , 而 是 内 骸 在 其 他 文件 中 。EMEF 是 默认 的 打印 模式 。 

每 个 打印 任务 会 生成 两 个 文件 。 一 个 是 假 脱 机 文件 ,扩展 名 为 SPL; 男 一 个 是 影子 文 
件 ,扩展 名 为 SHD。 这 两 个 文件 的 命名 方式 是 “5 个 数字 ?或 者 “字母 十 5 个 数字 ”, 根 据 打 印 
任务 递增 。 例 如 00002. SPL .00002. SHD 或 者 FP00002. SPL、FP00002. SHD。 假 脱 机 文件 
(SPL) 和 影子 文件 (SHD) 包 含 了 用 户 名 、 打 印 机 名 、 文 件 名 、 打 印 模式 (RAW 或 EMF) 等 打 
印信 息 ,但 是 它们 的 表现 方式 不 同 。 假 脱 机 文件 (SPL) 还 包括 了 打印 内 容 , 如 果 是 RAW 模 
式 , 假 脱 机 文件 (SPL) 就 包含 了 原始 打印 内 容 。Windows 系统 默认 使 用 EMF 模式 ,如 
表 6. 10 所 示 ,每 个 打印 页 面 都 被 转换 为 EMF 格式 保存 在 假 脱 机 文件 (SPL) 中 。 

在 打印 时 , 假 脱 机 文件 (SPL) 和 影子 文件 (SHD) 会 被 保存 在 打印 池 中 。 这 个 目录 由 注 
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册 表 HKEY LOCAL MATHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion 
\Print\Printer\ 的 DefaultSpoolDirectory 键 值 决 定 。 
表 6.10 不 同系 统 的 EMF 头 


操作 系统 EMF 头 (GREP 语法 表示 ) 
Windows 9x only \x0l1\x00\x00\x00\x58\x00\x00\x00 
Windows XP \xOl1\x00\x00\x00\x5C\xO01\x01\x00\x00\x00\x84\x00 
Windows 2000 \x0Ol1\x00\x00\x00\xD8\x17\x01\x00\x00\x00\x58\x6E 
Windows NT \xO01\x00\x00\x00\xl18\x]17 
Windows 2000 & XP \x0l1\x00\x00\x00. . \x00. {34,34} EMF 


EMF 文件 有 特殊 的 文件 签名 ,这 个 签名 在 不 同 的 系统 中 是 不 同 的 ， 

由 于 系统 会 在 打印 结束 后 删除 假 脱 机 文件 ,因此 假 脱 机 文件 大 都 保存 在 未 分 配 空间 、 文 
件 松 弛 区 ,交换 文件 ,休眠 文件 中 。 但 是 只 要 对 EMEF 文件 头 进 行文 件 签名 分 析 , 就 会 提取 
到 打印 过 的 图 像 信 息 。 

5. 预 谈 取 文 件 (Windows Prefetch ) 

Prefetch 目录 的 作用 是 加 快 系统 局 动 的 进程 。Windows XP 之 后 新 的 系统 会 日 动 记 录 
下 启动 时 运行 的 每 一 个 程序 ,并 根据 这 些 信息 加 快 下 一 次 局 动 的 时 间 。 这 些 文件 以 pf 为 后 
级 。， 预 证 取 文 件 的 目录 位 于 “Windows/Prefetch”。 

在 系统 启动 时 , Windows Cache manager 监测 两 分 钟 内 的 启动 进程 ,1 分 钟 内 的 
Windows 服务 以 及 10 秒 内 运行 的 应 用 程 厅 。 与 “Task Scheduler” 服 务 一 起 将 这 些 进 程 、 服 
务 .程序 的 内 存 页 保存 在 预 读 取 文件 中 ,一 旦 需要 ,就 将 其 从 人 硬盘 中 读 取 到 内 存 中 ,以 减少 下 

-次 系统 司 动 的 时 间 。 由 于 仅仅 保存 了 程序 的 少数 内 存 页 ,因此 司 动 速度 会 大 大 加 快 。 例 
如 , 当 用 户 运 行 记 事 本 程序 (Notepad. exe) 时 ,Cache Manager 会 再 历 Prefetch 目录 以 寻找 
记事 本 的 预 谈 取 文件 。 如 采 没 有 ,了 台 通 知 系 统 将 其 制作 成 预 谈 取 文 件 。 

预 旋 取 文 件 中 包含 了 程序 名 称 、 时 间 惟 和 运行 次 数 等 信息 。 其 中 时 间 惟 以 GMT 格式 
存储 。 

每 一 个 预 读 取 文件 的 文件 涉 都 有 特殊 标记 ,Windows XP/2003 以 “11 00 00 00 53 43 43 
41” 开 头 , 而 Windows Vista/7 以 “17 00 00 00 53 43 43 41” 开 头 。 因 此 即使 预 读 取 文件 被 删 
除 ,也 能 通过 GREP 霹 法 来 找到 文件 起 始 , 由 于 预 读 取 文件 没有 文件 尾 , 可 以 将 超过 源 文 件 
大 小 的 数据 提取 出 来 进行 分 析 。 


6.2.2 浏览 器 取证 


网 页 浏览 套 (Web Browser) 通 种 也 向 称 为 浏览 大 , 它 是 一 种 在 万 维 网 (World Wide 
Web) 中 用 于 检索 、 展现 及 传输 信息 资源 的 软件 客户 端 。 信 息 资 源 可 以 是 一 种 网 页 图片 . 音 
视频 等 内 容 。 浏 览 器 已 经 成 为 Windows、Mac OS X 、Linux 等 各 种 操作 系统 中 常用 的 客户 
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站 程序 应 用 。 

根据 国外 Net Market Share 的 最 新 统计 数据 ,2014 年 10 月 全 球 主流 浏览 器 市 场 份额 

排行 首位 的 是 微软 IE 浏览 絮 , 总 市 场 份额 高 达 58. 49% ,谷歌 Chrome 浏览 右 位 居 第 二 

位 ,市场 份额 21.25%，Firefox 火狐 浏览 器 以 13. 91% 的 市 场 份额 位 居 第 三 位 ,如 图 6. 13 
所 示 。 

Other:0.17% 

Android Browser:0.01% 一 一 一 

Proprietary or Undetectable:0.25% A 

Opera:0.83% » 


Safari:5.1% “, 
Firefox:13.91% 


NM 
Chrome:21.25% Microsoft Internet Explorer:38.49% 


6.13 浏览 副 市 场 份 额 统计 数据 (2014 年 10 月 ) 


除了 IE、Chrome、Firefox、Opera、Safari 等 国际 主流 浏览 磋 外 ,国内 也 有 不 少 钱 商 开 发 
基于 不 同 内核 的 浏览 需 ,QQ 浏览 颖 (TT)、 百 度 浏览 兹 ,搜狗 浏览 疾 、 独 鹏 浏览 侨 、360 浏览 
征 、UC 浏览 本 、 做 洲 (Maxthon)、 世界 之 窗 浏 览 硕 等 ,如 表 6. 11 所 示 。 

表 6.11 常见 浏览 器 内 核 及 其 对 应 的 浏览 器 软件 版 本 


浏览 器 内 核 常用 浏览 器 软件 名 及 版 本 

Trident Internet Explorer(V5 一 V11) .360 安全 浏览 器 (V1 一 V5) .腾讯 浏览 页 (CTT) 、 淘 
宝 浏 览 絮 (V1) 、 做 激 (V1 一 V2) .世界 之 窗 训 览 硕 ( 早 期 版 本 ) 百度 浏览 希 ( 早 期 
版 本 )、 搜 狗 浏 览 器 (V1 版 本 ) 

WebKit( 跨 平台 ) Google Chrome(V28 以 下 版 本 ) ,Safari, Amazon Kindle、Maxthon (V3 一 V4) 等 

Blink( 跨 平台 ) Chromium 开源 项 目的 部 分 ,代表 性 的 有 Chrome(V28. 0. 1469.0 以 上 版 本 )、 
Opera (V15 以 上 版 本 )、WebView (Android v4. 4 十 )、Amazon Silk 百度 浏览 器 
V7 ,世界 之 窗 ( 极 速 版 4. 3) 

Gecko( 跨 平台 ) Mozilla Firefox、Tor Browser, Mozilla SeaMonkey、 Epiphany (早期 版 本 )、Flock 
(早期 版 本 ) 人 -Meleon 

Presto( 跨 平台 ) Opera (V12.17 以 下 版 本 ) ,Nintendo DS Browser,Internet Channel 

Mosaic Netscape, AMosaic ,IBM WebExplorer,Internet Explorer(Mac) 等 


国内 不 少 浏览 大 软件 后 续 都 采用 了 多 内 核 引 擎 ,如 Trident 十 WebKit、Trident 十 Blink 


(1) 360 安全 浏览 需 (1.0 一 5.0 为 Trident,6.0 为 Trident 十 WebKit,7.0 为 Trident 十 
Blink) 。 


(2) 360 极速 浏览 器 (7.5 以 下 版 本 为 Trident 十 WebKit,7.5 为 Trident 十 Blink) 。 
(3) 猎豹 安全 浏览 器 (1.0 一 4. 2 版 本 为 Trident 十 WebKit,4. 3 版 本 为 Trident 十 
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Blink) 。 

(4) 做 游 浏 览 间 (做 游 1. x、2. x 为 Trident 内 核 ,3. x 为 Trident 与 Blink)。 

(5) 世界 之 窗 浏 览 疾 (最 初 为 Trident 内 核 ,2013 年 采用 Trident 十 Blink)。 

(6) 搜狗 浏览 右 (1.x 为 Trident,2.0 及 以 后 版 本 为 Trident 十 Blink)。 

(7) 淘宝 浏览 器 (1. x 为 Trident,2.0 及 以 后 为 Trident 十 Blink) 。 

虽然 浏览 硕 版 本 和 楷 多 ,工作 方式 也 有 差异 ,但 用 户 在 使 用 浏览 希 访 问 互联 网 上 的 资源 
后 ,会 在 计算 机 的 人 硬盘 中 留 下 一 些 稼 见 的 痕迹 ,其 中 包括 上 网 访问 历史 记录 ( 即 URL 地 址 
访问 列表 ) ,缓存 (Cache)、Cookies\ 收 藏 夹 (Favorites)、 下 载 的 资源 列表 等 资源 。 

个 人 的 互联 网 活动 可 以 被 用 来 证 明 或 反 驶 犯罪 行为 ,表明 是 否 有 了 网络 资源 的 不 恰当 使 
用 情况 每。 基于 用 户 使 用 方便 性 等 各 种 原因 ,各 种 浏览 带 往 往 会 留 下 大 量 的 互联 网 活动 记 
录 。 针 对 不 恰当 的 使 用 问题 进行 调查 是 大 多 数 公 司 的 典型 取证 活动 ,其 中 以 不 恰当 地 浏览 
网 页 最 为 普遍 。 很 多 企业 有 相关 的 网 络 安全 及 资源 使 用 政策 ,如 禁止 员工 利用 企业 的 网 络 
宽 源 查看 色情 网 站 黑客 网 站 ,休闲 娱乐 站 点 或 玩 网 络 游戏 等 。 

网 页 浏览 活动 经 党 需要 调查 的 内 容 主 要 有 : 

(1) 上 网 访问 历史 记录 (访问 过 的 站 点 地 址 列表 、 次 数 、 最 后 访问 时 间 等 ); 

(2) 缓存 (Cache); 

(3) Cookies; 

(4) 收藏 夹 (Favorites)。 

本 小 证 将 重点 介绍 Windows 平台 下 第 见 浏览 闽 IE 、Firefox 的 取证 分 析 。 

1. IE 浏览 器 

IE 是 Windows 操作 系统 内 癫 的 浏览 一, 多数 人 部 会 使 用 IE 浏览 带 来 访问 相关 网 站 。 
不 同 的 下 浏览 器 版 本 存在 一 些 细微 的 差异 ,IE 浏览 器 从 版 本 IE 5 一 下 9 采用 了 相同 的 工 
作 机 制 及 数据 存储 方式 ,IE 10 以 上 版 本 则 杀 用 了 全 新 的 存储 机 制 。 为 了 方便 曾 述 ,以 下 内 
容 中 将 正 分 为 两 大 类 ,分 别 为 传统 正 训 览 需 和 新 一 代 浏 览 部 。 传 统 浏览 锅 指 的 是 IE 5 一 
IE 9 之 间 各 版 本 ,新 一 代 IE 浏览 融 特 指 IE 10 一 IE 11 之 间 的 各 版 本 。 

1) 传统 了 正 浏 览 硕 (5.0 一 9.0 版 本 ) 

(1) 上 网 访问 历史 记录 

IE 浏览 颖 会 将 所 有 访问 过 的 站 点 各 个 页 面 的 URL 地 址 记录 到 用 户 配 置 文 件 夹 下 
History. IE5 文件 夹 中 ,并 以 浏 兖 时 间 为 序列 列 出 最 近 浏 览 过 的 站 点 。 所 有 URL 地 址 链接 
和 各 种 访问 的 话 细 信息 都 存储 在 名 为 Index. dat 的 索引 文件 中 。 

*。 Windows 2000/Windows XP: % systemdir% \ Documents and Settings \W% 

username % \Local Settings\ History\ History. IE5 
。 Vista/Win7/Win8: % systemdir% \ Users \% username% \ AppData \ Local \ 
Microsoft\Windows\ History 
需要 注意 的 是 ,通过 前 态 离 线 取 证 的 方式 (如 图 6. 14 所 示 ) 看 到 的 文件 目录 结构 往往 与 
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操作 系统 正在 运行 的 情况 下 看 到 的 有 些 差异 。Windows 操作 系统 正在 运行 的 情况 下 ,对 于 
数据 的 读 取 访问 做 了 特殊 人 处理, 因此 看 到 的 信息 都 是 经 过 处 理 后 的 内 容 , 如 图 6. 15 所 示 , 和 
真正 在 硬盘 上 存储 的 文件 的 视图 有 些 差异 。 


四 :口中 sun. SUNII-522E3BB3C 国 | 序号 | 名 称 文件 扩 . . ， 和 | 逻辑 大 小 ( 字 节 ) 
”cD Mrlication Data 口 1 desktop. ini ini 113 
pe st Software DD 2 2 i 
: 口 3 右 HSHist012011072520110801 152 
“口号 CEE 加 4 国 MSHist012011080120110808 152 
"oo® ene 市 口 5 器 msistol2011080820110815 152 
B.D LENOVO AP 口 6 加 MsHist012011081520110816 152 
-0 Locsl Settings 蝇 口 7 器 skistol2011081620110817 152 
| 让 0 Mpplication Data 引 回 8 国 WsHist0l2011081720110618 152 
| 由- 口 明知 ps 口 9 二 WSsHist0l2011081820110819 152 
| :0D sig 口 ”10 二 HSHist012011081920110820 152 
| | og Mes 二 | 口 11 国 Mshist012011082020110821 152 


cH Mstol2011072520110801 
CC 问 MSHi st012011080120110808 
Cc 站 里 MSHi st012011080820110815 
CC 门 喇 WSHi st012011081520110816 
CD 嘻 MSHist012011081620110817 


图 6.14 静态 离线 取证 的 查看 视图 


7 


To be 
二 > | 回 Ci\Users\user\AppData\Loca\Microsoft\Windows\History| = 四 | 
组 织 
六 收 茂 夫 下。 时 间 自 
甩 下 载 轩 3 周 之 前 
到 | 桌面 国 2 周 之 前 


畏 


图 6.15 操作 系统 正在 运行 的 查看 视图 


注意 : 通常 在 History. IE5 下 有 一 个 全 局 索引 文件 Index. dat, 在 各 个 以 时 间 友 列 分 组 
的 各 个 文件 夹 下 也 都 有 一 个 索引 文件 Index. dat。 

用 户 在 正 浏 览 需 地 址 栏 输入 URL 地 址 后 ,系统 将 会 把 输入 过 的 网 站 URL 存储 到 用 
户 注 册 表 NTUser. dat 中 ,通常 可 通过 注册 表 取 证 工具 读 取 该 文件 太 点 Software\Microsoft 
\Internet Explorer\TypedURLs 找到 相应 的 信息 。 

(2) 缓存 (Cache) 

IE 浏览 兹 为 提升 打开 网 页 的 速度 ,默认 会 将 最 近 浏 览 过 的 内 容 保 存 到 本 地 缓存 中 , 当 
用 户 下 一 次 打开 同一 个 网 站 时 , 束 不 需要 全 部 重新 从 远程 的 网 站 服务 强 上 下 载 文 件 ,而 是 和 耳 
接 从 本 地 缓存 中 读 取 ,当然 IE 浏览 莫 也 有 相应 的 机 制 , 可 以 设置 是 否 更 新 过 时 的 内 容 , 如 
6.16 所 示 。 

IE 浏览 器 的 缓存 数据 通常 存储 在 用 户 配 置 文件 夹 下 的 Local Settings\Temporary 
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人 lene 存 铺 赔 内 、 图像 和 召 体 的 副本 以 便 以 后 


检查 存 铺 的 贞 面 的 较 新 版 本 
辕 每 灵 广 | 可 的 内 时 区 ) 
全 ee Internet Explorer 时 区) 


ee 一 
当前 位 置 


C: Usersiuser hppDatatLocal Microsoft"Wirndows' 
Temporary Intiernet Files\ 


| | 了 # 坟 件 夹 如 .， 查看 文件 名 


图 6.16 下 临时 文件 及 历史 记录 设置 


Internet Files 文件 夹 ( 如 \Documents and Settings \”% username%\ Local Settings \ 
Temporary Internet Files\Content. IE5) ,如 图 6. 17 所 示 。 用 户 也 可 能 使 用 工具 修改 默认 
存储 缓存 的 路 径 。 


由 -C 口 是 各 ps 司 | 序号 名称 逻辑 大 小 ( 字 节 ) 
由 -CD 日 story 口 日 晤 314B0763 397, 312 
由 -c 口 Tenp 门 7 二 39FF8XW2 0 
本 CC 口 晶 Tempor ery Tntiernet Files 口 8 四 ATSWUDUS 413 696 
CD 口 9 里 CosYIDRz 430,080 
外 口 -oO Dron 站 ”10 翅 CxQZWT2N 344,064 
-oD 回 2HDRYP65 器 11| | desktop. ini B87 
DP 4zeopawo 口 2 : . GPUSOPMH 299, 008 
: -pg BCROFPEED MOD 1 1, od, 120 
| 由 站 里 al480J63 回 14 员 KDIMRCF3 73, 728 
: “co 口 里 89EF8XUz 二 口 ”15 二 IDWZ680J 139, 264 
DC 站 里 MT8YUDUS ”116 Woxeml 241, 664 
CC 口 咽 co5VIDRZ 品 47 喇 W9TTYIER 0 
CD 里 cgzWT2N 口 18 二 MFQYEX2N 147, 456 
-站 屿 GPU5OPWH 四 ”19 二 QB8J6PYZ 397, 312 
CD 虽 | KDINRCF3 加 ”2 呈 S3moPu8 86, 016 
CC 加 虽 | IDWZGBOJ 门 ”21 二 TriDWRXY 66,016 


图 6.17 下 历史 缓存 目录 及 索引 文件 


Content. IE5 中 也 有 一 个 索引 文件 Index. dat, 然 而 它 记 录 的 信息 与 History. IE5 中 的 
索引 文件 不 同 。 该 Index. dat 文件 包含 了 通过 正 浏 览 硕 访问 网 页 后 在 该 计算 机 中 缓存 的 
文件 的 相关 记录 ,用 于 加 快 浏 览 硕 的 速度 。 缓 存 的 文件 人 存储 在 本 地 计算 机 时 被 重新 命名 。 

(3) Cookies 

Cookies 通 第 存储 在 用 户 配 置 文 件 夹 下 的 Cookies 文件 夹 ,该 文件 夹 下 保存 了 一 个 索引 
文件 Index. dat 和 大 量 的 Cookies 文本 文件 。Index. dat 记录 了 用 户 访问 的 所 有 站 点 地 址 信 
县 ,Cookies 文本 文件 则 单独 记录 了 各 个 站 点 的 相关 信息 ,如 图 6.18 所 示 。 

如 果 同 一 个 网 站 的 多 个 页 面 启用 了 Cookies 来 存储 相关 数据 ,那么 用 户 在 访问 后 ,就 会 
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有 多 个 Cookies 文件 ,通常 在 Windows 系统 下 Cookies 文件 的 命名 规则 是 :“ 用 户 名 @@ 站 点 
相关 的 名 称 |[ 序 号 j. txt”, 但 也 存在 一 些 不 按照 这 个 规则 命名 的 。 


DE Deuments amnd Settines\sun. SUNII-S522E3BB3C\Cookies 
身 和 名称 < 大 小 | 类 型 


文件 和 文件 卖 任 荔 。 “人 CAATY38T. txt 1 好 “文本 文档 
CABHIRGP. txt 1 到 文本 文档 

= 三 命名 运 个 区 件 ee txt 1 可 文本 文档 
鸭 各 和 这 个 文件 自 CAD1IBGS. txt 1 到 文本 文档 
复制 这 个 文件 144 三 ”媒体 文 ... 
铺 将 这 个 文件 发 布 到 | 目 smao[1]. txt 和 档 
We 二 各 sunalo2B [2]. txt 档 

加 由 让 生地 件 形式 发 渤 国 smazo7[21. txt 档 
人 | sunB06b96332567934 _ 辽 档 
no 3 sunBgwee[2]. tt 1 本 净 本 女 档 
We [2) suna33across[l]. txt 1 到 净 本 如 档 

其 它 位 置 全 章 sumB3d. eoto. www. iciba[2]. txt 1 到 交 本 人 立 档 
目 suna58. 218. 200[1]. txt 1 开交 本 净 档 

器 sm WI 站 sumael.131. 89[2]. txt 1 到 文本 文档 
辆 我 的 文档 二 四 samael.131.89[3]. txt 1 下 文本 文档 


6. 18 ”Cookies 索引 文件 


Cookies 的 调查 工具 可 以 使 用 Nirsoft 的 IECookiesView 。 


工具 使 用 


(4) 收藏 夹 

浏览 希 中 的 收藏 夹 通 稼 保存 了 用 户 感 兴趣 的 网 站 URL 链接 ,这 些 链接 可 以 一 定 程 度 
上 体现 用 户 的 倾向 性 和 意图 。IE 浏览 副 中 通常 称 为 收藏 夹 (Favorites) ,如 图 6. 19 所 示 ,其 
他 类 型 浏览 硕 ( 如 Firefox、Chrome 及 Safari) 通 第 称 为 “书签 ”。 

通常 收藏 夹 默 认 存 储 于 用 户 配 置 文件 夹 下 的 Favorites 文件 夹 (% UserProfile%\ 
Favorites) 。 然 而 越 来 越 多 的 第 三 方 工具 提供 了 用 户 自 定义 IE 收藏 的 存储 位 置 ， 

收藏 夹 中 每 个 站 点 链接 的 文件 的 扩展 名 为 url, 因 此 电子 数据 取证 分 析 软 件 多 数 可 以 通 
过 遍历 整个 硬盘 搜索 ,发 现 保存 在 其 他 位 置 下 的 收藏 夹 信息 。 当 然 也 可 以 通过 分 析 用 户 注 
册 表 (NTUser. dat) 解 析 IE 浏览 硕 收 藏 夹 的 存储 路 径 来 了 解 该 用 户 收藏 夹 实际 的 存储 位 
置 。 用 户 注 册 表 中 记录 用 户 IE 收藏 夹 的 路 径 为 Software\ Microsoft\ Windows 
CurrentVersion\Explorer\Shell FoldersN\Favorites ,如 图 6. 20 所 示 。 

2) 新 一 代 IE 浏览 器 (10.0 一 11.0 版 本 ) 

2012 年 10 月 ,微软 发 布 Windows 8 操作 系统 ,内 置 了 了 Internet Explorer 10 版 本 。 
2013 年 2 月 微软 也 发 布 了 适合 在 Windows 7 系统 运行 的 Internet Explorer 10 版 本 。 越 来 
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案例 视图 列表 “图 库 
.日 cD sum SUNII-522E3BB3C , 


由 cD 昌 Mplieation Data 口 1 Dasktop. ini ji 
由 cD 昌 和 口 之 [ Fraser Portable Portablehpps. com 一 Porta,.. url 
由 :CD 呈 Bluetooth Software 回 3 | | Free download ABC Mmber Visio Convertor, ... url 
LO@ a 口 4 [ Fyree download hEC hmnber Visid Convertor, ... url fawieon 
和 网 站 加 川 医 | 5 || FTF 目录 -compsei- 位 于 ftp. turinebirds.c... url 本 
-gp 链接 |] 日 |a| https-—Wiw. Euldancesoftsare. Commyacedunt. .. url 
E 7 ht 一 一 攻 主 沪 nl on 
-CD IETL cache 于 司 同 
扣 Mi eroasoft 
由 -C 口 量 LE 和 OVO0_AP 
国 c 口 粗 Local Settinmgs [| 9 [1 Ns. el wl wrl 本 
由 c 吕 晴 Ny Documents 口 10 胃 | 电 癌 指南 . url url 而 
sr . el EN = Hr 上 
| SD 划 | 罗 遇 Ea 
立 本 “十 六 进 制 “ 预览“ 摘要 “磁盘 视图 
0 [DEFAULT] 编码 A 
11 BASEURL=https: /WE Ei Te 晶 ASCII 和 
B1 [InternetShorteut] FGpe312 | 
i101 URL=https: /eww, Eul dancesoftware. com/myaccount/ireeglistration, aspy 时 = 
1BT IDLi st= -I 习 
TB IeonFilea=https: A/ www. Eui dancesofiware. om favieon., ieo HF-8 
231 IconIndex=l UNICODE -至 
mda [ {DODD21a4AD0-0000-0000-CO000-000000000046}] FBIG FENDIAN 
BBE Fropd=19,11 . 
ba 


I PE 


图 6.19 ”收藏 夹 


自信 Hidellesktopl eons 而 | 
-| 园 WidellyComput erIeons 
[0 NapGr oups 
由 Mermanr der 


名 称 | 类 型 数据 
剑 认 ) REG_SZ (数值 未 设置 ) 
ab]hdministrative Tools REG SZ 


lab] kppData REG ST CE:‘\Documents and Settinessun. SUNII-S22E3BB3C\hpplicatiom. .. 
由 [3 半 ommt Polrtse a .4 . ' , \ . 
i lab]Cache REG SZ CE:\Documnents and Settings\sun SUNYI-S522E3BB3C\Local Setti... 
i 全 Prors abc Burning REG SZ E:Tocuments and Settines"sun. SUNMI-S22E3BBIC\Local Setti... 
r op umm iar : 

自 站 i ey lab]Cookies REG SZ  E:‘\Doeuwments nd Settines'sun. SUNII-S522E3BBE3C\Cookies 
-人 Fun ab]Deslkt on REG SZ 了 :ADaecunents and Settines‘sun SUMII-S22E3BB3C\ 撩 面 
由 人 筷 SassionTnfo | | Favorites 国 REG SZ CE:‘Docwments Ti Settinessun. SUNII-S52273BBIC\Fawvorites 
| ME shell Folders | REG SE CE:\WINDOWS\Fonts 
L.- 国 ShellImageVi ew lab] Hi 豆 业 在 于 到 REG SZ CE: ‘Doeuments nd Settines'surn. SUNII-S22E3RR3C\Loeal Setti... 
-. 留 StartPage lab]Loeal AppDsta REG ST EE:\Documents nd Settinessun. SUNI~-S22R3BRIC\Loeal Setti... 
-StreamnNERU lab]Local Settines REG SZ CE:‘Nocuments nd Settines'sun, SUNII-S22E3BRIC\Local Settines 
由 -和 Streams [ab My Musie REG ST FE:\Nocuwments and Settinessur SUNYI-S22FE3BRICWN Docoment. .. 
-StuckRects2 bf Pictures REG SZ FE:\Documnents and Settines\sun. SUNYI-S22E3BBEICWy Document., .. 
-i tips 司 || [ab]ny Video REG_S7 
-0 Trayliotify lab]HetHood REG SZ CE:\Documents amd Settines\sun SUNYI-S22E3BB3C\NetHood 
-Vser Shell Folders [lab]Personal REG SZ FE:\Documents ard Settines\sun SUNYI-S522F3BE3CWI Documents 
9 Userkssist ab]PrintHood REG SZ EB:\Documnents and Settings\sun. SUMYI-S22E3BBC\PrintHood 

| ab]Progr ams REG S57 了 :ADocunmernts and Settines'sun, SUMIT-S522F3BB3C\ [开始 ] 节 ... 

上 a en ee lab]Recent REG ST FE:\Docunents and Settings\sun SUNYI-S22E3BB3C\Recent 
四 入 Vi nal REFoct lab]SendTo REG SZ EE:\Documents and Settings"sun, SUNII-S22E3BEIC\SendTo 

i 上 三 岂 咏 心 二 iE 

由 -多 Yallpaper ab]Start Merm REG SZ7 了 :ADocuments and Settingsvsurn SUNI-522E3BB3C\ 「 开 始 」 菜单 
由 .全 abVYi ew 加 Startup REG_SZ CE:\Docments and Settingstsun SUTIT-522E38B3CV [开始 ] 菜 .. 


图 6.20 注册 表 中 记录 的 “收藏 夹 ”的 位 置 


越 多 的 计算 机 用 户 使 用 IE 10.0 浏览 器 或 更 新 版 本 来 访问 互联 网 。 

从 电子 数据 取证 角度 来 看 ,新 版 本 浏览 器 IE 10.0 最 大 的 变化 就 是 使 用 一 个 全 新 的 
WebCacheV01. dat 的 数据 库 文件 代替 传统 的 index. dat, 该 文件 是 一 个 数据 库 文件 , 它 是 一 
种 可 扩展 存储 引擎 (Extensible Storage Engine,ESE) 的 数据 库 , 早 期 也 稼 被 称 为 Jet Blue。 

ESE 可 扩展 存储 引擎 是 微软 一 种 灵活 度 很 高 的 数据 库 类 型 ,数据 库 大 小 可 以 是 1MB， 
也 可 以 是 1TB。 它 使 用 一 种 朋 沉 恢复 机 制 ,保障 数据 库 所 存储 的 数据 的 一 至 性 ,ESE 的 高 
级 缓存 系统 让 其 能 高 效 访问 数据 。 除 了 IE 10.0 之 外 ,Windows 系统 中 还 有 大 量 应 用 程序 
使 用 此 类 数据 库 来 管理 ,如 Windows Mail、Windows 时 面 搜索 、Exchange Server, 酒 动 目录 


ka 
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| 全 
we 
A A A 
ns in ne ns ns ne 


图 6.21 ESE 使 用 B 树 进行 数据 存储 


(Active Directory) 和 Windows Live Messenger 等 。 

ESE 可 扩展 引擎 数据 库 的 存储 单元 是 页 (Page)， 
在 Windows 7 系统 中 ,每 个 页 大 小 为 32KB。 际 了 部 分 
特殊 的 “长 ”记录 需要 跨 页 存储 外 ,数据 库 每 条 记录 者 
尽 可 能 存储 在 一 个 独立 的 页 中 。ESE 采用 B 树 (B- 
Tree) 结 构 存 储 数 据 , 如 图 6. 21 所 示 。 

重要 的 一 点 是 , 当 某 条 记录 从 数据 库 被 移 除 后 ,其 
占用 的 空间 会 被 标记 为 删除 ,但 数据 库 不 会 执行 覆 埋 
操作 。 正 是 因为 这 点 ,只 要 被 移 除 的 记录 疝 未 被 另外 
的 记录 罗兰 ,那么 原 记 录 的 数据 内 容 极 其 可 能 还 在 未 
分 配 的 空间 ,因此 有 机 会 恢复 疝 未 被 禾 兰 的 数据 。 


新 一 代 正 浏览 套 的 数据 库 及 日 志 相 关 文 件 位置 :% systemdrive%\Users\ user%\\ 
AppData\Local\Microsoft\Windows\WebCache, 如 表 6. 12 所 示 。 


表 6.12 新 一 代 下 浏览 器 相关 数据 文件 


文件 类 型 
ESE 数据 库 文件 
检查 点 文件 
事务 日 志文 件 
预 留 事 务 日 志文 件 
预 留 事 务 日 志文 件 
事务 日 志文 件 


文 件 名 
WebCacheV01. dat( 结 构 如 表 6. 13 所 示 ) 
V01. chk 
V0O1. log 


VOlres 并 并 划 井 井 .jrs 
VOlres 间 提 井 划 提 .jrs 
V0Ol 间 井 井 井 ##.log 


注意 : 最 新 的 Windows 7 和 Windows 8 正式 版 的 系统 中 均 使 用 V01 作为 基础 名 称 , 如 
表 6.13 所 示 。 然 而 有 资料 证 明 ,在 早期 的 Windows 8 Beta 或 预览 版 中 用 到 V16 和 V24 作 


为 基础 名 称 。 


表 6.13 表 WebCacheV01. dat 数据 库 文件 结构 


rr ET n 
Check Sum 异 或 (XOR) 校 验 和 
File Header 固定 值 EF CD AB 89 
File Format 文件 格式 版 本 
Database Time 0x16 | 8 | 数据 库 时 间 
Database Signature 数据 库 签 名 
Database State 数据 库 状 态 (03 为 Clean,02 为 Dirty) 
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通过 利用 Nirsoft 网 站 提供 的 ESEDatabaseView 工具 可 以 查看 ESE 
类 型 的 数据 库 内 容 。 


工具 使 用 


(1) 上 网 访问 记录 (History) 

在 WebCacheV01. dat 数据 库 查 询 “Name” 字 段 中 名 为 History 类 别 对 应 的 
ContainerID ,然后 再 分 别 查询 其 对 应 的 Container 划 划 表 即 可 获得 上 网 访问 记录 (通常 有 2 
个 对 应 的 Container 数据 表 )。 以 下 范例 可 以 看 出 一 个 名 为 History 的 ContainerID 为 3， 
PartitionID 为 M, 男 一 个 ContainerID 为 24,PartitionID 为 L, 如 图 6.22 和 图 6. 23 所 示 。 


Contamnerld Name 
各 16 


汪 17 


Content 
Content 
Cookies 


Coadllies 


DoOMStere 
DoONStore 


History 


Plistory 


iecompat 


iecompatusa 

iedownload 
MISHist012014121520141222 
MISHist012014122220141229 
MSHist01201412292015301053 
MSHrst012015010520150106 
MSHisth12015010620150107 
UserData 

UserData 


图 6.22 上 网 访问 记录 (History): 相关 的 数据 表 及 存储 位 置 


2014/12/29 12:40:57 
2014/12/29 12:40:57 
a014/12/29 12:41:24 
2014/12/29 13:23:0 
2014112129 13:27:31 
2014/12/29 13:26:01 
2014/12/29 13:26:00 
0014/12/29 13:26:19 
2014/12/29 13:26:d5 
2014/12/29 13:27:28 
2014/12/29 13:27:11 
ZO014/12/29 13:27:17 
2014/12/29 13:27:33 
dA/229 13:27:39 
a01A/L2/29 13.46:49 
2014/12/29 13:27:535 
2014/12/29 13:35:13 
2014/12/29 13:35:29 
?014/12129 13:38:74 
2014/12/29 13:41:43 


Accessedlirme 
2014/12/30 134017 
2014/12/29 12:41:25 
2014/12/29 14.46:25 
2014/12/29 132%40 
2014/12/29 13:27:31 
2014/12/29 132627 
2014/12/29 13:26:18 
2014/12/29 13:26:19 
2014/12/29 13:26:45 
2015/1/5 13:05:18 
2014/12/29 13:27:25 
2014/12/29 13:27:25 
2014/1a2/29 14:46:18 
2014/12/29 13:27:39 
2014/12/29 1409:32 
2014/12/29 13:27:55 
2014/12/29 13:35:28 
2014/12/29 13:35:31 
2014/13/29 13:38:34 
2015/1/5 13:05:18 
2014/12/29 13:38:05 


Partthionld Directory 

CUsers\usen\AppData\LocaN\Microsomt Windows\Temporary Internet Files\Low ContentlES, 
CUsers\use\AppData\Locah Nicrosoft Windows\Temporary Intermnet Files\Content.lES'\ 
CUsers\user\AppData\Roaming\MicrosoftNindows\Cookies\ 

CNUsers\usen AppData\Roaming\Microsoft Nindeows\Cookies\Low, 
CLsers\usen\AppData\Local\Nicrosoft\Internet Explore\DOMStora', 
CUsers\useN\AppData\LocalLow\Microsoft\Internet Exploraen\DOMStonra\ 


FE 


= 


CLsers\usenN\AppData\LocaN\Ncrosont\Windows\Historn History.lES', 
CNUsers\usen\AppData\Local\Nicrasaft\ indowsaHistory\ Low History JES, 
CALUsers\usen\AppData\Roaming\Microsoft\Nindows ECompatCache' 
CUsers\useN\AppData\Roaming\Microsoft\Windows\iecompatuaCache\ 
CiUsers\user\AppData\Roaming\Microsoft\Nindows\EDownloadHistory 

CNUsers\use AppData\Local\Nicrosoft\Windows\Histor\History.IES\MSHistOL2014121520141222% 
CAUsers\usen\AppData\Local\NMicrosoft\ Windows\History\History.IES\MSHIstOL201412222014122%, 
CNUsers\useN\AppData\LocaN\Nicrosot\Windows\History\History.IES\MSHistO12014122920150103\ 
CUsers\use\AppData\Local\Nicrosoft\Windows\Histor History.JES\MSHIst0120]50]0520150106, 
CNUsers\use AppData\Local\Nlicrosolt Nindows\Histor\ History. [ESVMSHiIstO12015010620150107, 
CAUsersusenAppData\Roaming\Microsoftnternet Explorer\UserData\ 
ppData\Roaming\Microsoft\Internet ExploreN\UserData\Low 


六 对 了 至 双双 至 芋 世 三 荆 昌 


CNUsers\user 


: Usef@https/ /ifengqq.com/mall/mall.shtml?ADTAG=pay.account.balance.bin 

: Usef@http://ten.qq.com/tavicon,.ico 

: user@http://jifen.qq.com/htmlS/index.html?ADTAG=JIFEN.MART.INDEX 

: user@http:/ /vn 12306.cn/mormhwebylyhw/question/ 

: User@http:/ /ains. 12306.cn/mormhweb/lyfu/quastiaon/index .html 

: UserEhttp:/ /v.12306.cn/mormhweb/kyhv/question/201112/20111220 672.html 
: User@ httpa/ /winy. 12306.cn/tavicon.cs 

: user@https/fnw, 12306.cnfmormhweb/kyfw/question/201112/20111220 670.html 
: user@http:/ /vn 12306.cnfmormhwebykyfhw/question/201112/20111220 679.html 
: user@http:/ /vn 12306.cnfmormhvwebykyfwv/question/index_2,.htbml 

: UserEhttp:/ /vn 12306.cn/mormhwebybyfhw/question/index_3,html 

:SET 全 htt AAA 12306.cn/mormhweb/kyfhy/question/201112/20111220 642.html 
: Usef@http:/ /vns.12306.cn/mormhwebykyhy/question/index.html 

: usef@http:/ /my.12306.c0n/mormhwebykyfhw/question/201205/t20120503 702,html 
: usef 史 https:// hoyha, 12306,.cn/otn/leftTicket/init 

: user@https:/ /hyhs.12306.cn/favicon.ico 

: User@httips:/ /hyfs.12306.cn/oin/login/init 

: UserOhttps:/ /hyfhs.12306.cn/otn/index/intMy12306 

: usar hip /lyhs.12306.enyein fmmeaditylUser/init ueryLserinfe 


图 6.23 上 网 访问 记录 (History): 数据 表 (Container_3) 
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值得 特别 注意 的 是 ,微软 了 正 浏 览 郑 除了 记录 使 用 者 访问 网 站 的 行为 ,还 会 记录 
Windows 和 质 源 管理 硕 打 开 文 件 的 历史 记录 ,新 一 代 浏 览 闫 及 传统 浏览 奉 各 版 本 均 有 此 共同 
特性 。 因 此 ,通过 I[E 访问 记录 (History) 的 分 析 , 可 以 获得 被 取证 人 员 的 文件 打开 凑 迹 记 
录 ,包括 打开 时 间 、 次数、 文件 名 及 完整 路 径 。 本 地 访问 的 文件 记录 是 以 fille:// 为 前 级 ,而 
不 是 http:// ,这 个 是 最 大 的 区 别 , 如 图 6. 24 所 示 。 


| AccessCount AccessedTime Url /7 
2 2015/1/5 13:56:12 Visited: user@file:///D:/ForensicTools/ziliao/345.pdf 
1 2015/1/5 14:15:39 Visited: user@file:///D:/ForensicTools/ziliao/DatabaseForensic.pdt 
1 2015/1/5 13:49:54 Visited: user@file:///D:/ForensicTools/ziliao/directoryentries.pdf 
1 2015/1/5 13:50:;07 Visited: user@file:///D:/ForensicTools/ziliao/dork_history_reader.zip 
1 2015/1/5 15:53:48 Visited: user@file:///D:/ForensicTools/ziliao/ESCForensics%20Analyzing%20Thumbcache.mht 
2 2015/1/5 14:19:38 Visited: user@file:///D:/ForensicTools/ziliao/EseDbViewer.v.1.0.6.zip 
1 2015/1/5 15:58:14 Visited: user@file:///D:/ForensicTools/zillao/Extensible%20Storage%20Engine%%20(ESE)%20Databas 
1 2015/1/5 13:51:00 Visited: user@file:///D:/ForensicTools/ziliao/FAT32diskstructuur.pdf 
2 2015/1/6 12:41:10 Visited: user@file:///D:/ForensicTools/ziliao/Forensic%20analysis%20o0f9%620the%20ESE39620databas 
1 2015/1/5 14:15:45 Visited: user@file:///D:/ForensicTools/ziliao/Forensic%20analysis%20o0f9%20the%20Windows%20Se; 
1 2015/1/5 13:49:36 Visited: user@file:///D:/ForensicTools/zillao/ForensicsSheet.pdf 
1 2015/1/5 13:51:25 Visited: user@file:///D:/ForensicTools/zillao/forensische-analyse-windows-register.pdf 
1 2015/1/5 15:44:50 Visited: user@file:///D:/ForensicTools/ziliao/FULLTEXTO02.pdf 
1 2015/1/5 13:49;42 Visited: user@file:///D:/ForensicTools/ziliao/ID Windows.pdf 
1 2015/1/5 13:52:50 Visited: user@file:///D:/ForensicTools/ziliao/Internet%20Explorer3620History%20Fle%20Format362( 
1 2015/1/5 14:19:35 Visited: user@file:///D:/ForensicTools/ziliao/libesedb-master.zip 
1 2015/1/5 13:51:18 Visited: user@file:///D:/ForensicTools/zillao/linkhile-parsing.pdf 
1 2015/1/5 13:49;:49 Visited: user@file:///D:/ForensicTools/zillao/Memory%20Analysis%20Cheat3620Sheet.current.pdf 
1 2015/1/5 15:46:16 Visited: user@file:///D:/ForensicTools/zillao/nirsoft/A620few620words%20about320the%%20cache’ 
1 2015/1/5 15:02:22 Visited: user@file:///D:/ForensicTools/zillao/nirsoft/BrowsingHistoryView3620-%20View3620browsin 
1 2015/1/5 15:03:18 Visited: user@file:///D:/ForensicTools/ziliao/nirsoft/browsinghistorywew-x64.zip 


图 6.24 上 网 访问 记录 (History) 


2012 年 ,福建 省 某 地 市 公安 局 抓获 一 个 非法 网 络 传销 人 员 ,通过 对 IE 
浏览 器 进行 分 析 ,发 现 该 嫌疑 人 在 特定 时 间 范 围 打开 过 大 量 网 络 传销 相关 
文件 (上 下 线 会 员 及 银行 账户 信息 等 文档 ) ,但 文档 已 经 全 部 被 删除 ,通过 
对 硬盘 的 深度 搜索 ,最 终 恢复 出 大 量 相关 的 涉案 文档 ,经 确认 该 人 是 传销 
场景 应 用 ”网络 中 较 高 级 别 的 人 物 ,涉案 金额 巨大 。 


(2) 缓存 内 容 (Content) 

在 WebCacheV01. dat 数据 库 查 询 “Name” 字 上 段 中 人 各 为 Content 类 别 对 应 的 
ContainerID ,然后 再 分 别 查 询 其 对 应 的 Container 井 井 表 即 可 获得 访问 站 点 的 缓存 内 容 
(通常 有 2 个 对 应 的 Container 数据 表 )。 以 下 范例 可 以 看 出 一 个 名 为 Content 的 
ContainerID 为 16 ,PartitionID 为 工 , 另 一 个 ContainerID 为 17 ,PartitionID 为 M, 如 图 6. 25 和 
图 6. 26 所 示 。 
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Containerld Narme  !/ partrtionld Directory 

E16 Content L CN\Users\usen\AppData\LocaN\Microsoft\Windows\Temporary Internet Files\Low\Content,IES\ 
Al7 Content MI CNMUsersWuserAppDataWLocahMicroscftwWindowsVTemporar Internet Files\Content.IES\ 
全 了 Cookies MI CUsersvusermApPPDatavRoa ming\Microsoft\Windows\Coo lies'\ 

| Cookies L CN\Users\usen\AppData\Roa ming\Microsoft\Windows\Coo les\LowN 

| DOMStore MI CA\Users\usern\AppData\LocaN\Microsoft\Internet Explore\DOMStore\ 

鲁 6 DOMStore L CNUsers\usen\AppData\LocalLow\Microsoft\Internet Explore \DOMStoreN\ 

入 3 History MI CA\Users\usern\AppData\LocaN\Microsoft\Windows\History\History.IES 

二 24 History L CA\Users\usen\AppData\LocaN\Microsoft\Windows\Histor\Low\History.IES 

图 6.25 缓存 内 容 (Content): 相关 的 数据 表 及 存储 位 置 

ModmhedTime hccessedTime Url hlenarme 

2012/11/15 O07: C201A/12/23 1:36:18 Chitpi//172.16.0.80/webAuthiindex him ey.duba.com/?t=dbsjddb 99 50&z=0 indhexx[1].hitrm 

a0l2 dd 2:5636 2014/12/26 1:02:58 httpi//172.16.0,.80/styles/utilLcss util[l].ess 

2012/74 2:56:36 201A/12/26 1:02:58 httpa//172.16.0.80/scnipts/futiljs util[1]:js 

2012/7 4 256:36 201A/12/26 1:02:58 httpi//172.16.0.80/mages/rz buttonjpg rz_button[l]Jpg 

2012/74 2:56:36 2014/12726 1:02:59 httpa/172.16.0.80/images/rz ico,pg rz_ico[l]jpg 


2010/9/3 10:00:27 2015/1/3 12:58:15 httipi/iwraew,batrdyucom/img/bd logol,png bd logol[ll.png 


2011/6/22 6:40:43 
2014/11720 5:034:47 
2012/11/15 $07:18 
2014/12/17 23:45:29 
2014/9/29 gd7:14 
2013/11/29 15:50:18 
2014/12/10 13:41:39 
201d/9/26 11:13:59 


2a01313 1238:13 
20151/3 12:58:15 


2a01A/12/12 1029%24 


201A12/23 1:36:12 
2014712/28 O18:00 
a01A12/28 :18:00 


2014/12/12 12:0542 


2014/12/28 (18:00 


httpa /vrs baidu.comima/badyu jgvylogo3.gif 


https/ /sl.bdstatic.com/r/vwww/cache/static/jquery/jquery-1.10.2.min f2fb5194.js 
httipaf172.16.0.80/webAuthjindex htm?ww.duba.com/?t=ntab 


httpsy ve. duba.com/ f=dbsjBdb_ 99 50&z=0 


https/ /vrer duba.com/static/v2 /js/jquery-1.7.2.minjs?v=20140929 

httpa /vrena, duba.corm/static/va /images/blank,git 

https/ fv duba.com/static/images/public/20141210/8263950293f542e7fce3ebO06c3e2f382,.png 
httpsf fv duba.com/static/mages/publc/20140926/c0284acA677cbb6ad3231tca?3ccb2192,pg 


baidu jgylogoe3[1].gt 

jquery-1.10.2.min f2fb5194[1],s 

index[1].hitrm 

duba_caml[l1].htm 

jquery-1.7.2.min[1]js 

blank[l].gt 
8263950293f542e7fce3eb06c3e2{382[1].png 
cadacdo7 icb6ad3231tcaT3cc62192[1],pg 


2014/12/10 $08:16 -201122 120542 httpsAAww duba.com/static/images/publc/20141210/0210elcrad6acl060a0bd33681dedllejpg Qafdelc7adbacl060a0bd33681de4l1le[l],Jpg 
2014/12710 13:45:14 2014/12/11 B13:30 https/vw.duba.com/static/images/public/20141210/86cfa3das5772b995f15b729bba3a330.png B6cfa3d455772b995H5b729bba3a330(1].png 
201A/12/10 B32:04 201/12/1 B13:30 httpiy/dhl.kmg.cn/static/limages/publrc/2e0lAl210/65 44dadts900dddeloleraccdeb rdl.git 6544da4159004f4el6le7acceeb77gd1lill if 
2014/12/5 8:39:41 2014/12/18 :11:0 heey/imglijinshancom/static/ya/css/minbase.css v=20141205163941 min.basell] .css 

2014710/15 7:39:23 2014/12/28 (1B:02 httpi/imgl.ipnshancom/static/v2/images/repeat bg.png? 201410151124 repeat bg[l],png 

201A/5 :44:39 201A12/28 1802 -httpay/fimagliinshancom/static/2/mages/taobao _ search npng? 20141171728 taobao_search_n[l].png 

2013/11/29 15:50:18 2014/12/28 0:1B02 httpi//fimglijinshan.com/static/y2/images/blank,gif blank{[1].gif 


图 6.26 缓存 内 容 : URL 及 缓存 文件 名 


缓存 内 容 记 录 了 使 用 者 访问 哪个 网 站 页 和 面 及 页面 包含 的 所 有 舱 入 的 文件 (如 HTML 
网 页 文件 ,图 上 厂 、Flash、CSS、JavaScript 文件 等 )。 
扶 认 IE 浏览 右 将 缓存 文件 存储 在 以 下 2 个 位 置 ,但 用 户 可 在 浏览 瘟 中 修改 Internet 临 
时 文件 的 路 径 到 指定 文件 夹 。 
。 systemdrive% \ Users \% username% \ AppData\ Local\ Microsoft \ Windows\ 
Temporary Internet Files\Content. IE5( 如 图 6. 27 所 示 ) 
。 systemdrive% \ Users \% username% \ AppData\ Local\ Microsoft\ Windows\ 
Temporary Internet Files\Low\Content. IE5 


Csers™ henry popDatasLocal Micerosoft Mindows™“ITemporary Internet Files”“Content.l1ES 的 目录 


2013AH512 16:2d <DIR» 

2013AB5A1l2 16:2 DIR» es 
<DIR» HPHSOK?T 
<DIR» 16B3LPRF 
DIR» BGQBRUYUSA 

container .dat 

<*DIR» EDUOBNSF 

“Wy 9 字 拓 


必 
[i 

| 

| 


[| 


a 


[| 
| ag 


2013A05.12 
2013/05.A12 
2013AH5.12 


[ 


本 
ry 

"| 
17 

6 
sh 

ff 


ES 


[| 


图 6.27 缓存 文件 目录 
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(3) Cookies 

Cookies 是 浏览 需 可 以 记录 用 户 访 问 网 站 的 一 些 相 关 行 为 信息 ,如 访问 次 数 、 豆 好 、 用 
户 名 等 。Cookies 可 以 分 为 两 种 类 型 : 会 话 型 和 永久 型 。 会 话 型 通常 跟 中 用 户 的 浏览 会 话 ， 
只 是 临时 性 存储 在 内 存 中 ,但 用 户 关 闭 浏览 妖 时 Cookies 的 信息 就 会 于 失 , 但 是 由 于 内 存 中 
的 数据 可 能 有 了 时 会 在 人 硬盘 中 的 交换 文件 (pagefile. sys)、 休眠 文件 (hiberfil. sys) 中 找到 。 如 
果 有 在 网 上 购物 ,你 或 许 就 会 发 现 , 在 一 些 网 络 商 城 站 点 ,如 当当 网 书城 ,淘宝 网 ,在 尚未 以 
用 户 名 登录 的 情况 下 ,将 商品 加 入 购物 车 后 ,不 小 心 关 闭 了 浏览 善 ,在 重新 打开 浏览 页 访问 
网 站 的 时 候 , 发 现 之 前 加 入 到 购物 车 的 商品 还 在 ,这 个 就 是 Cookies 的 一 个 典型 应 用 。 

Cookies 可 以 让 取证 人 员 了 解 浏 览 问 使 用 者 访问 过 哪些 网 址 ,并 且 在 该 网 站 进行 的 一 
些 相关 操作 ,有 时 其 至 可 以 提取 到 Cookies 中 保存 的 用 户 名 、 密 人 码 明 文 及 密 文 (如 经 过 散 列 
算法 保护 MD5) 等 用 户 信息 。 通 稍 Cookies 需要 设 定 其 有 效 期 , 它 包 含 了 一 系列 记录 ,每 条 
记录 包括 了 以 下 相关 的 信息 : 

中 变量 (Key) : 存储 的 变量 名 ; 

值 C(Value) : 关键 词 的 值 ; 

3) 主机 (Host) : 写 入 该 记录 的 主机 名 称 ; 

安全 性 : 通常 有 True 和 False 两 个 全 (如 果 是 SSL 站 点 的 通常 为 True); 

@ 修改 时 间 : 最 后 一 次 修改 记录 的 时 间 ; 

(@) 有 效 期 : 过 期 后 该 Cookies 信息 将 失效 。 

在 WebCacheV01. dat 数据 库 查 询 “Name” 字 段 中 名 为 Cookies 类 别 对 应 的 
ContainerID ,然后 再 分 别 查 询 其 对 应 的 Container 井 井 表 即 可 获得 各 个 网 站 Cookies 相关 
URL 及 对 应 的 Cookies 文本 文件 (通常 有 2 个 对 应 的 Container 数据 表 ), 如 图 6. 28 和 
6. 29 所 示 。 


Containerld /7 Name Partitionld Directory 
和 四 Co 本 ES L se CAU se 过 seN\AppD 3 时 aming\ ee 1 | Cookies \Lo wn 
多 2 Cookies MI CN\Users\useN\AppData\Roaming\Microsoft\Windows\Cookies\ 
®@ 3 History M Ci\Users\useN\AppData\LocalN\Microsoft\Windows\Histom\History.IES\ 
二 4 DOMStore M Ci\Users\useN\AppData\LocalN\Microsoft\Internet ExploreN\DOMStore\ 
外 6 DOMStore L Ci\Users\usen\AppData\LocalLow\Microsoft\Internet ExploreN\DOMStora\ 
起 14 UserData M CAVWUsersWsernAppDatavWRoamimngVMrcrosoftInternet ExploreN\UserData\ 
昌 16 Content L C\Users\useN\AppData\LocaN\Microsoft\Windows\Temporary Internet Files\Lo 
全 17 Content M C\Users\useN\AppData\LocaN\Microsoft\Windows\Temporary Internet Files\Cc 
会 20 lecompatua M Ci\Users\useN\AppData\Roaming\Microsoft\Windows\IecompatuaCache\ 
中 21 redownload M CN\Users\useN\AppData\Roaming\Microsoft\Windows\I[EDownloadHiston\ 
全 24 History L Ci\Users\usen\AppData\LocaN\Microsoft\Windows\Histor\Low\History.IES\ 
二 26 recompat M CN\Users\useN\AppData\Roaming\Microsoft\Windows\I[ECompatCache\ 
二 27 UserData L CAUsersWusernApPData\RoamingNMrcrosoft\Internet ExplorernUserData\VLow 


图 6.28 查看 WebCacheV01l 中 Cookies 信息 对 应 的 数据 表 
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Container 1 [Table ID = 11, 25 Columns] 


ModifiedTime 
2014/12/16 15:17:22 
2014/10/12 14:16:56 
2014/10/12 14:16:58 
2015/1/5 15:08:07 
2014/12/29 13:24:29 
2013/12/21 4:09:00 
2013/12/21 3:12:49 
2013/12/21 3:02:13 
2014/12/28 5:09:53 
2013/12/21 3:01:51 
2015/1/6 12:32:43 
2014/12/23 23:31:56 
2014/10/12 12:08:21 
2015/1/6 12:46:50 
2014/12/29 13:34:04 
a2014/12/17 23:18:51 
2013/12/21 3:18:31 
2013/12/21 3:41:00 
2014/10/12 14:16:58 
2014/12/29 13:36:05 
2013/12/21 3:12:50 


AccessCount AccessedTime 


6 
1 
1 
86 
v4 
1 


6. 29 


2015/1/5 14:06:05 
2014/10/17 11:57:23 
201A/10/17 11:57:23 
aQ013/1/s 150807 
2015/1/6 134:32 
014/ 11:5 123 
20135/1/6 13:44:36 
2014/10/17 11:5 1:23 
2014/12/28 G16:26 
2014/10/17 11:57:23 
2015/1/6 13:44:32 
2015/1/5 14:05;58 
2014/10/17 11:57:23 
20153/1/6 12:46:50 
2013/1/3 15:06:30 
2014/12/17 23:18:51 
2014/10/17 11:57:23 
2014/10/17 11:57:23 
2014/10/17 11:57:23 
2014/12/29 13:36:05 
2014/1017 11:5 71723 


Url 

Cookie:user@c.bing.comy 
Cookie:user@office.microsoft.com/ 
Cookie:user@c.msn.com/ 
Cookie:user@addthis.com/ 
Cookie:user®@|.qq.com/ 
CookieuserBw vy.sumurl.com/ 
Cookie:user@@hm,baidu.com/ 
Cookie:user@easeus-partition-maste... 
Cookieuser@oooxm.corm 
Cookie:user@google.com.hk/ 
Cookie:user@qq.com/ 
Cookie:user@scorecardresearch.com/ 
Cookie:user@123.s0gou.comj 
Cookie:user@microsoft.com/ 
Cookie:user@@google.com/ 
Cookieuser@mwebtrends.com/ 
Cookieuser@softoniccom/ 
Coolke:user@easeus.com/ 
Cookie:user 区 msn.com/ 
Cookie:user@sogou.com/ 


Cookie:user@baofeng.com/ 


Cookies 来 源 URL 及 文本 文件 名 


Flename 
15CY3NPS,txt 
user@@office.microsoft[2].txt 
usertBc.msn[2].bdt 
WESHVAUA.bct 
YK1I1DPZ.txt 
userEvw ww.sumuri[2].tt 
user@hm.baidu[l1].bdt 
user@easeus-partition-master 
1KUNCINS.tdt 
user@gqgoogle.com[2].txt 
GMHVHGVN ,tt 
FAEQO0O28.txt 
us5er@123,.s0go0u[2].txt 
OH78OWAT ,txt 
REJAY3EZ .txt 
2EMI3ZDE txt 
user@softonic[2].bxt 
userDeaseus[2|].txt 
user 他 msn[2].bdt 
DT85Q3C9.bxt 
user@baofeng[l].txt 

WW 


目前 国外 主流 的 EnCase V7.10.1 及 FTK 还 不 支持 IE 10.0 以 上 版 


师 及 Safe Analyzer。 


工具 使 用 


2. 火狐 (Firefox) 浏 览 器 


本 的 数据 解析 。 文 持 了 正 10.0 以 上 版 本 的 国外 取证 工具 有 Internet 
Evidence Finder 和 Belkasoft Evidence Center ,国内 的 取证 工具 有 取证 大 


Firefox( 火 狐 ) 浏 览 需 在 全 球 的 用 户 市 场 份额 也 占据 了 较 大 的 比例 ,拥有 较 多 的 用 户 和 群 
体 , 此 外 上 Firefox 是 一 款 跨 平台 的 浏览 器 。 早 期 名 为 Firebird, 于 2004 年 正式 改名 


Firefox ,并 发 布 了 V1. 0 版 本 。 虽 然 版 本 变化 双 


重 


只 是 在 功能 上 有 较 多 较 快 的 更 新 ,如 表 6. 14 所 示 。 
表 6.14 Firefox 版 本 及 发 布 时 间 点 


Firefox 版 本 


年 


份 


2004 年 
2005 年 
2006 年 
2008 年 


V1.0 
V1.5 
V2.0 
V3.0 


快 ,然而 其 数据 存储 的 方式 变化 不 是 很 多 ， 
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续 表 


年 份 Firefox 版 本 
2009 年 V3.5 
2010 年 V3.6,V4.0 
2011 年 V5.0 一 V9. 0 中 
2012 年 V10.0 一 V17.0 
2013 年 V18.0 一 V26.0 
2014 年 V27. 0 一 V34.0 
2015 年 V35.0 


本 节 以 Firefox V35.0 中 文 版 为 例 介绍 该 版 本 浏览 锅 的 数据 存储 及 分 析 方 法 。 
存储 路 径 : % systemdrive%ANAUsers\% username%\ AppData\ Roaming \ Mozillar\ 


Firefox\Profiles, 如 图 6. 30 所 示 。 


日 AddaonInstaller 

| addon-notification 
出 bookmarkbackups 
crashes 

出 datareporting 

出 Extensions 
Bgmp 

出 gmp-gmpopenh264 
出 healthreport 

Ld mindumps 

出 ntab 

DD sessionstore-backups 
WD storage 

晶 webapps 

el addons.json 

关 blocklistxml 

图 certB.db 

车 | compatibility.ini 

[| content-prefs.sqlite 
| | cookies.sqlite-shm 
而 cookies.sqlite-wal 


| extensions.ini 


国 extensionsjson 
| formhistory.sqlite 
| | he sh ra 一 中 cml 


2015/1/25 16:41 
2015/1/25 16d2 
2015/1/28 21:04 
2015/1/28 22:00 
2015/1/25 16:42 
2015/1/28 22:09 
2013/1/28 22:00 
2015/1/28 22:00 
2015/1/28 22:00 
2015/1/25 16:41 
2015/1/25 16:41 
20135/1/28 23:17 
2015/1/25 16:41 
2015/1/28 21:59 
2015/1/28 22:09 
2015/1/25 16:53 
2015/1/28 21:05 
2015/1/28 21:59 
2015/1/28 21:05 
2015/1/28 23:16 
2015/1/28 21:58 
2015/1/28 23:17 
2014/1/28 20:38 
2015/1/28 22:09 
2015/1/25 17:59 
TEST en 


Data Base File 
配置 设置 

SQLITE 普 忻 
SQUTE 立 件 
SQLTE-SHM 立 件 
SQLITE-WAL 立 件 
Jj5ON 玄 件 
SQLITE 交 件 


Lo Try 


1 13N Wa 


cookies.sqlite 修改 日 期 : 2015/1/28 23:16 创建 日 期 : 2015/1/25 16:41 


SQLITE 玄 件 去 小 : 512 KB 


图 6. 30 ”Firefox 版 本 默认 数据 存储 路 径 


由 于 采用 的 是 SQLite 数据 库 ( 如 表 6. 15 所 示 ) ,因此 可 以 使 用 SQLite 数据 库 查看 工具 
(如 Mitec SQLiteQuery、SQLiteStudio 等 ) 打 开 该 文件 进行 SQL 语句 查询 , 即 可 看 到 数据 
库 中 的 数据 。 


中 版 本 号 来 用 新 的 方式 (Rapid Release) 。 
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表 6.15 Firefox 常见 数据 存储 位 置 


类 型 
上 网 历史 记录 (History) 
书签 (Bookmark) 
下 载 文 件 列表 
Cookies 


表单 历史 记录 


数据 表 名 


moz places 


数据 库 文件 名 


places. sqlite 


places. sqlite moz bookmarks 


places. sglite moz annos 
cookies,. sglite moz_ cookies 


formhistory. sqlite 


(1) 上 网 历史 记录 ,书签 及 下 载 文 件 列表 路 径 : systemdrive%\Users\%username 
\AppData\Roaming\Mozilla\Firefox\Profiles\xxxxxxxx. default\places. sqlite, 如 图 6. 31、 
6. 32 和 图 6. 33 所 示 。 


Tr 
| 天 Be Ioog Windows Help Ox 
口 台 | 配 | 车 盖 防 | 日 
FT 
日 图 main 人 WUsersWsarAppl | 一 Fields (二 | Indices (7 | Tigges lo) | Fonsgnkest 
ee 国 | 上 里 团 加 | 国 | 剖 人防 | 男 


一 国 moz_annos 
rewv_ host 


其 


|- 国 maz_anno_athibube: 
一 因 moz_bookmaks 
i 当 maa_bookmasks_re 


i 


http: A /Tretcs, Com cnalconmme 

Pitp:A/al taobao,. com ?pid=mm 28347190 2425761_20., 
Hp /unan elek, Hd eomide re=tp=AlBeanpiF Oe A]... 
Patp: /Au lied on. Gon. Creal om 

Pitp: A Ae, leed on com.cnidesktoplps 

Ptp: A frefcachirea. cn Pw Hiralowchiria cn 

Patp: A Nam mcaills, ena 

RS 到 ,org 

itp3 A Asa moaills. ono zh CN 

Patp: ATiret cs, Comm Cru 

Htp: A/ Aa led on com. crvdesk toplips rrplily 

Palp: /Ma lean com. ernudesk loplips, triange 

Hitp: /A/mmarketshare. hitslnk. com/ brovwser-market:share. as.. 

Pitp:Aibake. badu. com bnk ?udsiF 1 YIN SApaPrir dy... 

Fatp: A oftiraab hretowchinia ere 


mre moc:. poleat. 

moc oaboal.ia. 

moc di keile.nonuy, 
内 狐 济 石器 1 欢迎 使 用 所 remoec nolatw. 
葡 迎 伟 用 光 扳 浏览 器 fire. 
党 末 主 页 -Frelow 光 新 主页 


T22175I10812000 
1422461762266000 
1422175350615000 
14221 瑟 3J77134000 
Ta31 瑟 扯 站 50000 
T422175992366000 
T221753333092000 
T422175484123000 
T422175496E314000 
T42217592910000 
T422178417356000 
1422453626341000 


nc. moc. solest a... 
rc ei ualeril 
Nom wi 
本 中 Eom wv 
om ww. 
Fz. moc. pof ea. 
政 迎 使 用 光 狐 浏 晤 器 1 fe. 
疏 迎 使 用 火狐 浏 蜗 器 lire 
Browser market 下 Hane 
浏览 器 肉 赣 _ 百 度 百 科 

站 标 竺 页 


re Moe. wolett a._.. 
ne, mac nol el,w 
mac knilstih, erah... 
moc udiab_ ekiab. 

re aniheuabhartbh.. : 


二 | 有 中 
User: USER-PCWUSGT 了 
0 


- 


EE man 人 Weeswwwppl Foreign heys [0 


poh et CO 
$d 


rpata | pol | 


很 二 


§ 


一 国 moz_anno_athibube 
30 


到 


a Rn 


.图 sqlte_stall 


| We 
二 一 Trnggsrs 


司 PE 
INTE... | NTE... | INTE.,. | NTE... | INTE... | LORGVARCHAR |ME.. | re |mnmeseR |mmesem |er 


"i ; 


Count 6 RecNe: 50 


京东 商城 


历史 记录 
下 载 项 
标 敬 


散 近 使 用 的 慰 营 
用 淘宝 ‘ 原 淹 宝 特 雪 } 


0 


后 站 美亚 柏 科 是 国内 领先 ,. 


1375257877000000 
137r5257877000000 
1d22175299219000 
T1422175299213000 
142217529323000 
T3770E2352000000 
1375257877000000 
T422453657250000 


| 1422453691907000| 


14a2453661090000 
1422d5Jbb1093000 
T422453661096000 
T422453661101000 
1453453661104000 
14a2t53jppb11UBU00 


T422175309294000 
T35257977000000 
T2275299219000 
T2217529921900y 
T422175299234000 
Thaal rod0B369000 
T422175310244000 
T422453%5729200 


142245381907000 


1422453561 的 2000 
Ta2d5 拓 61095000 
T4224536109700 
142245%61103M0 
1423453661105000 
Thz2l53661108000 


DodSkibasrad | 二 
PuaQ0drT Gv 
EJGIN2miDe 
drs dtliS-ig 
HADhybdE 
bOSL WED be T ek 

t DHNIaE hlaP 


SWXBOCMYA 


chmBBedU he 
sadarAFD 
?LUHU3S9 证 3 扣 
rlkdaherem_ 
|BvetlBeAngae 
EL:WRAbhtS SAc 
mrulHeagHics = 


Fi 


User: USER-PONWser 司 


图 6.32 书签 数据 [数据 表 : moz_bookmarks 
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= FE main 人 CAUserswuservhppl | Fields (10) | Indices (1) | Tigges 四 | Foreign keys (0) Data | DOL 


央 Tables nal 


国 | 国 于 国 名 草 | 男 


1422453616738000 
14224536|7032000 
1d224536434323000 
14224536572 的 000 
1422458208311000 
1d22a58208319000 
1d22458224334000 


HlectitC: Usersrt... 
ij 国 moz favicons 30litebrowser 之 .,， 
.图 moz historyvisits f'atate"1."end. 
于 国 moz hosts UTF.B 
图 moz_inputhistory : He tiC: Userst... 
六 国 moz_jtems_annos BaiduRoot_setu .， 
一 畴 mos_keywords C'state”1.,"end.. 

moz_places 
下 spa vequence 
- 转 sqlite stat 
ie 
Tragers 


图 6. 33 下 载 文件 列表 [数据 表 : moz_annos | 


(2) Cookies 存储 文件 路 径 : % systemdrive% \ Users \% username%\ AppData\\ 
Roaming\Mozilla\Firefox\Profiles\xxxxxxxx. default\cookies. sqlite, 如 图 6. 34 所 示 。 


MiTeC SOQLite ee El 其 
“yg 二 人 有 I 


| 月 | i WW dh Hels -slxl 
| 口 营 | 画 | 函 国 驴 | 蝇 


日 . 园 main [(C'\UsertuserApnl 
-人 国 | 圈 轩 郝 | 本 | 明言 | 男 


图 Views baseDomain appld inBrowserElement name value PE | host 


~ BB Triggers 


300188. cn 


AC Olire, Sor 
Ac ion-Onlire. cor 


Bap ty 
restel. CO. En 
drmastet. om, en 
adrmastet, com, en 
Fie. ED 

可 ies. Som 

到 ES com 

baidu com 

baidu. com 

baidu, som 

baidu, com 

baidu com 
biddingx com 
biddingx. com 
biddingx com 
bluska,com 
bluekal,.com 


| 


saledog-floweitem 
SC COUNT 
CID 


Bdapty unioue ... 


repping_ hit 
wisist 
adrmckid 
uuid2 

GE 

记 LLYESID4 
BalIDUPSID 
Hoaen00 
ATS_PASS 
BalDUID 


Hrm_hyt_55b574... 


Bud 
Caghn 


6785AFE5E6 


1 


"CASHID=B=3MD=28886-c116.... 
"282421326237068435 TIME_ 2.. 


Menlo. 1 422175351 


7 的 200647661.014221 再 351.1...， 


15012516423119 的 314 
34093446100776159993 
D998ABCLBFEBEAD 4BE 


JBaFO250dE12230C08 D2FBa.. 


] 
1 


4BBB0DF2381A347B94BBaF6B 虹 36..， 


1422178426 
1422362715B784 可 
512 

] 


KJOnRsHOmstlpeeddos JmOATO... 


dd2/08 lbN OAOWTRAYSE UI nS... 


图 6. 34 Cookies [数据 表 : moz_cookies ] 


.300188.cn 
.eNomrorkine eon 
.CMOMronline co 
. 避 dap. ty 

.三 呈 TT OriL EN 
.raster. Con en 
.adnater, conL en 
. 避 Ti 

. 遇 中 Hs CO 
.lyes.com 
.badu.com 
badu.corm 
badu.caorm 
.badu.com 

‘bak badu, com 
.biddings. com 
.biddingx.com 
.biddings,com 
bluask a Som 
,bluakar Gom 
blueak a com 


| TEXT 


Mozilla\ Firefox\ Profiles\xxxx. default\cache2\entries, 如 图 6.35 所 示 。 


(3) 缓存 数据 存储 中 径 : %% systemdrive%\ Users\% username%\ AppData\ Local\ 


[ ] 35F7C1AS41CA9CB99EB085D9197BBA80OF658FACD 
辐 SOC3TAMADD3FD1SB18D933435F08809811E036D70 
中 dq37A5GA2B6ASD3ABAAS2CALA2BOBS60TFFAA207A 
[ ] 34891CA830AECED82533560257408A0ADC6C7260 
加 OFID7FB93002AC313F25614AE0EDB1AAEBD236C8A 
回 E69AAACDCBD2463509DAC43F2F180C83330FFCS8E 


L] B339C47CD1C74F6917BD594EA5768EB9EAE96789 
DD FLSFl173B95A772731ldFl15B178C0D34DDFCCO9COF 
器 了 3D35A69D4CA7F9EA23AE97BC7SE30OBF93CSBBO81 
| ] 568F8DA2C7DFED0751E1240DE5F90DA12C3A86E5 
申 Fly729FSFCE38517427BE3EF4o2c8S3BBEEAABAD3 

加 1F04B3F6olCo5ELCE30D1A95943BE53C85A394E3CB 


2015/1/29 0:33 
2015/1/29 0:33 
2015/1/29 0:33 
2015/1/29 0:33 
2015/1/29 0:33 
2015/1/29 0:33 
2015/1/29 0:33 
2015/1/29 0:33 
2015/1/29 0:33 
2015/1/29 0:33 


2015/1/29 0:33 


2015/1/29 0:33 


第 6 章 ”电子 数据 取证 技术 139 


[L] 6DD7C163ADC6FB88D5C25497D00997A52C6589CB 
加 d8E8DBIF3T31DBFOBSCAA21BOMTIDIABE3EAFS36 
回 996FF69B28BB46AADB240D5B033726E17BE 上 73F53 


2015/1/29 0:33 
2015/1/29 0:33 
2015/1/29 0:33 


图 6.35 默认 缓存 文件 路 径 


Firefox 浏览 大 可 以 使 用 Foxton Software 人 免费 浏览 兹 分 析 工 具 。 
Browser History Viewer V1. 1.2 文 持 Chrome 所 有 有 版本, IEC(V10 以 上 版 
本 ) ,Firefox(V3 以 上 版 本 ) 的 数据 分 析 , 包 括 上 网 记录 ,缓存 文件 (可 重 构 
网 页 页 面 )。 


工具 使 用 


浏览 部 的 历史 记录 分 析 可 获得 用 户 的 各 种 网 络 行为 及 本 地 文件 访问 行为 ,其 数据 可 成 
为 重要 的 电子 数据 证 据 ,或 为 案件 调查 市 来 重要 线索 。 目 前 没有 一 个 工具 可 以 全 面 文 持 各 
关 浏 览 融 的 数据 分 析 , 因 此 在 进行 调查 时 , 雷 要 税 担 各 种 浏览 带 的 数据 存储 位 置 、 数据库 结 
构 ,应 用 各 种 工具 进行 分 析 。 


6.2.3 注册 表 取 证 


注册 表 是 Windows 系统 存储 关于 计算 机 配置 信息 的 中 央 数 据 库 , 在 系统 起 看 核心 作 
用 。 注 册 表 中 的 数据 是 以 二 进 制 的 形式 存储 的 ,这 个 数据 库存 放 有 计算 机 硬件 和 软件 的 配 
置信 息 、 应 用 软件 和 文档 文件 的 天 联 关 系 以 及 各 种 网 络 状 态 信 息 和 其 他 数据 。 注 册 表 是 
Windows 操作 系统 的 核心 ,可 以 说 计算 机 上 所 有 针对 使 件 、 软 件 、 网 络 的 操作 都 是 狐 于 注册 
表 的 。 同 时 它 也 是 一 个 信息 丰富 的 证 据 库 ,对 于 电子 数据 取证 非 芝 重要 , 电 于 数据 取证 中 的 
很 多 证 据 都 是 直接 来 源 于 注册 表 。 例 如 , Windows 注册 表 就 包含 了 大 量 关于 用 户 账 号 、 访 
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问 记 录 、 网 络 共享 、 运行 历史 等 记录 。 正 确 提 取 注 册 表 中 的 有 效 数 据 将 对 取证 工作 大 有 
帮助 。 

1. 注册 表 概 述 

作为 Windows 3. x 和 MS-DOS 中 ini，autoexec. bat，config. sys 这 些 文 件 的 替代 者 。 
注册 表 在 Windows 95 系统 首次 出 现 , 随后 多 用 户 操 作 系 统 Windows NT/2000/XP/ 
VISTA/2003/7/2008/2008 R2/8/8.1/2012/10 的 注册 表 文 件 比 Windows 95/98/ME 要 复 
杂 得 多 ,功能 也 强大 得 多 。 尽 管 注册 表 的 文 持 文 件 不 尽 相 同 ,但 是 按 功能 来 分 ,这 些 操 作 系 
统 的 注册 表 是 由 系统 注册 表 文 件 和 用 户 注 册 表 文件 两 类 组 成 的 。 

2. 注册 表 的 组 织 结构 

使 用 注册 表 编 辑 带 “Regedit. exe ”可 以 查看 注册 表 的 内 容 , 注 册 表 编辑 大 显示 的 是 注册 
表 的 逻辑 结构 ,如 图 6. 36 所 示 。 

"注册 表 编辑 咽 


文件 外 编辑 包 ) 查看 QW 收藏 严 () 帮助 00) 
ee 


FT pe wunt REG_DWORD 


由 MppEvents 
(Console 
由 旺 Control Fanel 
中 Ervir onment 
由 国 PDC 键 值 
I HIEY_CURRENT_USER 
四 加 | Identities 
由 [加 Keyhboard Layout 
局 MNetwork 
由 上 | Printers 
- omlmnto 1 On | 
"中国 | Fr 
A Un WNILODE Froeram Groups 
Volatile Environment 
由 -加 Windows 了 1 Mieration Sta 
由 -全 WEEY_LOCAL MACHINE 
由 - 国 HIET_ USERS 
由 -本 HKEY CURRENT CONFIG 


图 6.36 注册 表 的 逻辑 结构 


注册 表 系 统 是 按照 三 层 结构 组 织 的 ,以 树 形 结构 排列 ,由 |[ 根 键 ] 一 |[ 子 键 ] 一 |[ 键 值 ] 
组 成 。 

(1) 注册 表 根 键 的 组 织 方 式 

根 键 是 系统 定义 的 配置 单元 ,通过 “HKEY_” 来 表示 。 注 册 表 中 有 5 个 根 键 。 请 注意 ， 
根 键 和 注册 表 配 置 单元 (Hive) 是 截然 不 同 的 , 根 键 是 注册 表 编 辑 磋 显示 的 5 个 主要 键 视 
图 ,而 注册 表 配 置 单元 (Hive) 除 了 HKLM 和 HKU 两 个 根 键 是 配置 单元 实体 ,其 他 都 是 其 
中 的 某 一 个 子 键 是 配置 单元 ,而 且 配 置 单 元 是 指 回 硬盘 中 的 某 一 实体 的 。 表 6. 16 显示 了 这 
些 根 键 和 它们 的 缩写 。 
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表 6.16 根 键 
名 称 缩 写 
HKEY LOCAL MACHINE HKLM 
HKEY_USERS HKU 
HKEY_CLASS ROOT HKCR 
HKEY_CURRENT_USER HKCU 
HKEY_CURRENT_CONFIG HKCC 


HKLM 和 HKU 是 真正 存储 在 便 盘 物理 文件 里 面 的 根 键 。HKCU 其 实 是 HKU 一 个 
子 键 的 符号 链接 。HKCR 和 HKCC 是 HKLM 的 符号 链接 。 根 键 的 名 字 以 “H?” 开 头 是 因 
为 根 键 的 名 字 代 表 了 Win32 访问 键 的 句柄 (Handle) 。 
(2) 键 值 
每 个 键 都 有 一 个 或 多 个 值 。 每 个 值 包括 3 个 部 分 : 名 称 、 类 型 .数据 ,如 表 6.17 所 示 。 
表 6.17 键 值 的 组 成 


值 描 述 

名 称 值 的 类 型 决定 它 所 包含 的 类 型 

类 型 注册 表 中 的 数据 类 型 ,例如 REG_BINARY、REG_DWORD 等 
数据 键 值 包含 与 键 类 型 相关 的 数据 


注册 表 键 值 主要 的 类 型 是 : REG_DWORD, REG_BINARY 和 了 REG _SZ。REG _ 
DWORD 储存 数字 或 布尔 值 ; REG_BINARY 储存 超过 32 位 的 数字 或 者 是 原始 数据 ,如 加 
密 密 码 ; REG_SZ 储存 Unicode 编码 的 字符 串 ,如 名 字 、 文 件 名 、 路 径 和 类 型 等 。 

3. 注册 表 的 物理 结构 

在 物理 层面 上 ,每 个 注册 表 配 置 单元 (Hive) 文 件 , 系 统 都 有 相应 的 支持 文件 和 备份 ,以 
便 在 系统 局 动 失败 时 兰 代 当前 使 用 的 注册 表 配 置 单元 文件 。 

以 Windows VISTA/2003/7/2008/8/2010/10/2013 操作 系统 为 例 , 其 注册 表 支 持 文件 
对 电子 数据 取证 有 用 的 有 : 

(1) %SYSTEMROOT%\system32\config\SOFTWARE( 系 统 安 装 的 软件 信息 ); 

(2) %SYSTEMROOT%\system32\config\SYSTEM( 计 算 机 系统 配置 信息 ); 

(3) %SYSTEMROOT%\system32\config\DEFAULT( 上 默认 用 户 的 配置 信息 ); 

(4) %SYSTEMROOT%\system32\config\SAM( 本 地 账户 数据 库 , 包 含 该 计算 机 的 
所 有 用 户 和 密码 信息 ); 

(5) %SYSTEMROOT%\system32\config\SECURITY (系统 安全 信息 ); 

(6) \Documents and Settings\W%username%WAMNTUSER. DAT( 个 人 用 户 注 册 表 文件 ) 。 

4. 注册 表 取 证 

注册 表 给 取证 人 员 提 供 了 大 量 系 统 配置 信息 和 用 户 使 用 信息 。 通 过 注册 表 的 分 析 , 可 
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以 提供 一 份 详尽 的 嫌疑 人 计算 机 设备 的 简要 报告 。 包 括 便 件 配置 .系统 配置 、 使 用 销 信 息 、 


用 户 账 号 、 外 置 设 备 。 
注册 表 取 证 时 ,应 当 看 重 检 查 以 下 项 目 ， 
(1) 硬件 配置 信息 ,包括 主板 型 号 .BIOS 版 本 、 系统 时 间 等 ; 


(2) 系统 配置 信息 ,包括 机 疾 名 、 安 波 时 间 、 关 机 时 间 \ 安 六 版 本 、 用 户 列 表 、 网 络 信 息 等 ; 

(3) 使 用 者 信息 ,包括 用 户 名 密码、 上 网 记录 、MRU 外 置 设备 (U 盘 、 打印 机 ) 等 。 

由 于 Windows 系统 版 本 的 多 样 性 ,给 注册 表 取 证 市 来 了 一 些 困 难 。 不 同 的 配置 项 在 不 
同 的 系统 中 并 不 是 一 成 不 变 ,而 是 保存 在 不 同 键 值 中 。 因 此 在 注册 表 取 证 中 ,应 当 首 先 确定 
操作 系统 的 版 本 ,随后 再 有 针对 性 地 进行 分 析 。 

1) 注册 表 的 取证 方法 

方法 一 : 注册 表 离 线 分 析 ( 取 得 嫌疑 人 便 盘 ,只 读 情 况 下 读 取 、 解 析 HIVE 文件 ) 。 

方法 二 : 十 程 注册 表 调 查 ( 需 要 远程 计算 机 开局 Remote Registry 服务 ,并 有 此 机 融 的 


管理 员 账 户 和 密码 ) 。 
分 Registry Windows Registry Recovery( 人 包 费 版 ); 
在 线 注 册 表 调查 工具 : 利用 系统 目 市 的 Regedit. exe 即 可 远程 连接 到 
工具 使 用 远程 计算 机 查看 注册 表 信 息 。 


离线 注册 表 调 查 工 具 :; EnCase, FTK Registry Viewer 取证 专用 软件 
或 其 他 支持 离线 读 取 操作 系统 注册 表 文 件 的 工具 软件 ,例如 MiTec 


键 修改 时 间 : 所 有 的 键 都 关联 一 个 最 后 修改 时 间 , 当 键 被 创建 ,修改 、 
访问 或 者 删除 时 ,就 会 更 新 相应 的 最 后 修改 时 间 。 最 后 修改 时 间 是 64 位 
Windows/FILETIME 文件 时 间 格 式 。 可 以 通过 键 修改 时 间 确 定 具 体操 
作 的 时 间 。 例 如 拔 搬 U 盘 的 时 间 编辑 文件 的 时 间 (MRU)。 


场景 应 用 


2) 注册 表 取 证 的 关键 键 值 

以 下 这 些 键 值 保存 了 对 于 取证 有 用 的 信息 : 

(1) 硬件 配置 

Windows XP 的 配置 信息 保存 在 HKEY_LOCAL MACHINE\ HARDWARE\\ 
DESCRIPTION\System; Windows 7 的 配置 信息 保存 在 HKEY_LOCAL_MACHINE\ 
HARDWARE\DESCRIPTION\System\BIOS, 这 些 信 息 包 括 主 板 信 息 、BIOS 释放 时 间 、 
BIOS 型 号 ,如 图 6. 37 所 示 。 


4 -天 计算 机 
b .加 HKEY CLASSES ROOT 
5- 国 HKEY_CURRENT_USER 
4 HKEY_LOCAL MACHINE 
| b -出 BcD00000000 
| 2- 国 HARDWARE 
| b- 国 AcRI 


b -出 Centralprocessor 


| FloatingPointhrocessor 
-最 MultifunctionAdapter 
i | i "| VideodapterBusses 
i jb. 园 DEVICEMAP 
| b- 国 RESOURCEMAP 
Sa 
| 上- 国 sEcuRrmv 


TEN 
abl BaseBoardManufacturer 


abl BaseBoardVersion 

喝 BiosMajorRelease 

仙 BiosMinorRelease 

ab| BIOSReleaseDate 

lab| BIOSVendor 

ab| BIOSVersion 

Fl ECFhrmawareMajorRelease 
员 ECFirmaareMinorRelease 
ab| SystemFamily 

ab| SystemManufacturer 

ab SystemProductName 

ab| SystemSKU 

ab| SystemVersion 
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REG _S7 
REG_SZ 
REG SZ 
REG_SZ 
REG_DWORD 
REG_DWORD 
REG_SZ 
REG SZ 
REG _S7 
REG_DWORD 
REG DWORD 
REG_SZ 
REG_SZ 
REG S7 
REG_SZ 
REG S7 


炽 舍 未 设置 ) 

ASUSTek Computer INGC, 
PBB WS 

Rew 二 ex 

Cu00000004 (可 
DO0000006 (可 
10y24/2011 

Amernican Megatrends Ine 
0904 

x000000ff (255) 
CxOO000OfF (255) 

Te be filled by ©.E.M. 
System manufacturer 
System Product Name 
Te be filled by ©.E,M, 
System Version 


: bp- 嘲 SOFTWARE 

: b- 轩 SYsTEM 

b .加 HKEY_USERS 

b - 园 HKEY_CURRENT_CONFIG 


| 计算 机 NHKEY_LOCAL_MACHINE\HARDWAREMDESCRIPTION\System\BIOS 
图 6.37 Windows 7 的 配置 信息 


(2) 系统 配置 

计算 机 名 (Windows 95/98/NT/2000/XP/VISTA/2003/7/2008/2008 R2/8/10/ 
2013): Windows 的 完整 的 计算 机 名 称 保存 在 : HKEY_LOCAL_MACHINE\SYSTEM\ 
CurrentControlSet\Control\ComputerName\ComputerName 中 ,如 图 6. 38 和 图 6. 39 所 示 。 


El Windows 司 用 以 下 人 情 息 在 网 络 中 标识 这 台 i 计 算 机 。 


| 


举例 : “Kitchen Computer” 或 "Mary s 
Computer” o 


完整 的 计算 机 名 称 ， 太阳风 
工作 组 : WORKGSROUP 


计算 机 描述 (D): 


要 使 时 网 络 标识 守 去 加 入 三 并 创 寻 本 地 用 记 帐 
户 ， 1 宙 。 2 


[网 络 IDQ8) | 


尸 ， 博 单 击 “网 路 


要 命名 这 全 计算机， 单 击 “ 更 鸣 ”，。 


L 应 用 上 
图 6.38 系统 属性 中 的 配置 信息 
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文件 外) 编辑 还) 查看 避 ) 收 藏 亚 邮 ) 才 助 以) 
人 BootYerificationfroaeram 男 | 上 | 名 称 
\ 中 Install ee 
: ollewl celnst ETS Ic t er 可 a 
-CON Hamne rbiter II 
: 日 口 Comput erlHame 


人 hctiveComputerlame 
避暑 | omputerlHame | 
四 .入 ContentIndex 
人 CLontentlndexl ommorn 
: … 人 上司 CrashControl 
: 由 - 人 | CriticalDeviceDatabase 
由 - 本 DeviceClasses 


cm 本 LOCAL PLLA 
图 6.39 注册 表 中 的 配置 信息 

(3) 安装 信息 (Windows 2000/XP/VISTA/2003/7/2008/2008 R2/8/10/2013) 

安 站 信息 是 系统 安 疙 时 被 号 入 注册 表 中 a LOCAL MACHINE\ 
Software\Microsoft\Windows NTACurrentVersionN\”。 其 下 的 键 信 包括 注册 组 织 .注册 人 、 
产品 名 称 等 有 效 信 息 ,通过 这 些 信息 可 以 判定 计算 机 的 所 有 人 。 从 而 为 计算 机 使 用 者 的 唯 

-性 提供 佐证 ,如 表 6. 18 所 示 。 
表 6.18 注册 表 中 的 安装 信息 


项 目 键 值 
注册 组 织 ReglsteredOwmner 
注册 人 ReglsteredOwmner 
产品 名 称 ProductName 
安装 踏 径 SystemRoot 
版 本 名 称 CurrentVersion 
版 本 号 CurrentBuildNumber 
Service Pack 版 本 号 CSDVersion 


除了 以 上 的 信息 之 外 ,这 个 根 键 中 还 记录 了 操作 系统 安 婆 时 间 , 它 存放 在 InstallDate 
健 值 中 ,如 图 6. 40 所 示 。 


REG IWORD OxABeddBad (189402797) 


图 6. 40 InstallDate 键 值 


这 个 时 间 是 C/UNIX 文件 时 间 格 式 。 这 种 格式 存储 于 32b 二 进 制 中 ,基于 1970 年 1 
月 1 日 00:00:;00, 以 秒 递 增 , 使 用 大 端 字 市 顺序 保存 。 

(4) 使 用 记录 

OD 挂 载 设备 列表 (Windows 2000/XP/VISTA/2003/7/2008/2008 R2/8/10/2013) 
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HKLM \ SYSTEM \ MountedDevices 和 HKCU \ Software \ Microsoft \ Windows \ 
CurrentVersion\Explorer\MountPoints2\CPC\Volume\ 

第 一 个 键 保存 着 冒 挂 载 过 有 过 各 日 固定 卷 名 和 内 部 标识 符 的 各 种 设备 的 列表 。 这 个 键 
也 详细 列 出 了 所 有 曾经 被 分 配 过 盘 符 的 USB 闪存 盘 和 外 置 的 DVD/CDROM 设备 。 在 其 
中 ,以 “\DosDevices\” 开 始 ,以 盘 符 字母 结尾 的 值 包含 着 被 挂 载 过 的 特殊 设备 的 信息 。 如 
图 6. 41 所 示 : 如 果 “\DosDevices\F” 的 开始 位 里 有 “\?? \Storage 井 RemoveibleMedia”, 表 
示 有 一 个 USB 盘 搬 人 过 计算 机 的 USB 端口 。 与 注册 表 此 键 值 的 最 后 写 人 时 间 联 系 在 一 起 
考虑 ,取证 人 员 就 可 以 得 出 USB 闪存 盘 插 人 计算 机 的 准确 时 间 。 


汉 和 福 册 表 编辑 器 

文件 外 ) 编辑 伍 ) 查看 征 ) 收藏 亚 训 ] 名 助 站) 

日 对 我 的 电脑 名 称 ES “| 类 型 | 
由 国 HKEY_CLASSES_ROOT BP? Volume {87532543-3cfc-11dd-bdac-0013e8305dbd} .Se 00 3f£ 
虽 HEE EME BVolune {a06 a9e35-bede-11de-b410-001388305db} EG BI... 5e 00 3f 
加 rnt [BR ?7 Yolume {a314f21a-aa3a-11dc-b3el-0013e8305dbd} REG BI... ad an 69 
A BP Yolume {a314f21b-aa3a-11de-b3el-0013e8305dbd} EG BI... ad an 89 


| 由 -的 si : 
下 (BP? Yolune {tbB191a86-a6c9-11dc-b3d4-0013e8305dbd} BI... ee T2 5e 
| Se DO 3E 


:| 由.- 父 SO0FTWARE 

日- 息 | sYsTEN z . be 90 be 

: 田 - 鲁 | ControlSet001 | 05 dl FG BI... be 90 be 
由 . 食 | ControlSet002 数值 名 称 串 : .be 0 be 


-人 ... bc30b 
此 | CarrentLontrolSet | (VDocsDevi ces'k: | 1 上 


LastEnowntroodhecod . 


. -上 Momiedllewi ces a 此 本 Se 00 3£ 
"Select > oD 3 0 38 Ob ri Le J Hl oe 0 yt 


由 -人 简 ] Setup 
由 -| TA 
由 - 国 | IEEY_USERS 
由 - 久 | EEY_CURRENT_CONFIG 


5e 00 3f 
d3 2d 73 
d3 2d 73 
4d 8 db 
4a4f8db 
4d £6 db 
se 003£ 
se 00 3£ 略 
Te BD co 
d3 24 73 
. 刘 3 的 
BDosDevi ces\k: ‘Se 00 3f£ 


[BDosDevi 已 号 AT 


电脑 WEET_LDCAL_INACHIINE “SYSTEN Neonurmt edlevi ces 


导 和 外 人 改 人 时 一 
应 睛 丫 杜 9 


jw 
Ms RN 尼 “< 


图 6.41 外 置 设备 的 信息 


第 二 个 键 导 "xMountedDevices” 键 类 似 , 但 是 按 各 目的 设备 GUID( 全 局 唯一 标识 符 ) 分 
别 在 子 键 中 保存 着 信息 。 其 中 的 data 键 值 信息 更 为 详尽 ,包括 卷 标 、. 分 区 格式 等 。 

@ USB 设备 挂 载 信 息 (Windows 2000/XP/VISTA/2003/7/2008/2008 R2/8/10/ 
2013)HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR 

这 个 键 保 存 着 USB 存储 设备 的 更 多 信息 。 这 个 键 和 上 述 两 个 键 一 起 可 以 提供 很 多 证 
据 信息 。 

MRU 

MRU 是 Most-Recently-Used( 最 近 使 用 的 ) 的 缩写 。MRU 是 很 重要 的 键 值 。 弄 清楚 
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它们 对 于 卉 清楚 嫌疑 人 在 计算 机 上 的 活动 是 很 有 大 助 的 。MRU 的 数量 众多 ,包括 Office 
应 用 都 有 MRU ,以 资源 管理 副 的 MRU 为 例 : 
»* HKCU\ Software\ Microsoft \ Windows \ CurrentVersion \ Explorer \ ComDlg32 AN 
OpenSave MRU(Windows 2000/ XP/VISTA/2003/7/2008/2008 R2/8/10/2013) 
这 个 键 保存 看 通过 Windows 的 资源 管理 右 中 的 “打开 ”“ 保 存 ” 对 话 框 打开 过 的 文件 列 
表 。 其 他 通过 Web 浏览 器 ,比如 (IE 和 FireFox) 打 开 的 文件 名 也 会 保存 下 来 ,但 是 ,通过 
Microsoft Office 打开 的 文档 不 会 出 现在 这 里 ,如 图 6. 42 所 示 。 


站 忻 企 ) 蝙 辑 邓 ) 查看 他) 收藏 来 (&) 帮助 加 
( 泗 值 未 设置 ) 
E:" 职 证 上 昌 志 全 Begisty 专 题 研究 eonf 
E:\ 职 证 则 不 复 志 全 YEegisty 专 题 研究 Wecont 
CADocunents and Settinmgsn 名 由 告 昌 % 训 面 
| - ee EF 职 证 种 克 旧 大 全 VAhccassDatanRy\config 
| ! | 外 向 CD Burnineg ; FE \ 职 证 如 克扣 大 全 heecassDatanRi\config 
i 息 息 CLSID lab] E:“ 职 让 如 相近 太 汪 heaessData\RV eonfige 
: : 白 仿 | ConDl1e32 | FE: 职 证 大 尝 志 宇 %hecessDatahRY eonfige 
: 国 LastVisite dey ab] E:% 职 证 本 蕊 友 全 hhccessDatahRY eonfig 
1 FE: 职 证 水 皮 二 主 "Registv 专 懒 研 究 \eonf 
由 - 太 Desktop j E 取证 则 区 复 大 全 WERagisty 考 题 研 究 WeonE 
| 由 Discardable RULi s bieaifahed 
，: : 由 入 | FileExts 
i - 加 HideMyL omputerleors 
I | 出 ar oups 


I | HewSshortcutHandl ers 


内 口 smuDr der 
| 全 NountFoints2 
i | | (国有 Conpuater 


财 十 BS nLnes 
[a] Shell Foluders 
[3 StiartFage 
|: StreamllRU 
me 由 向 tT 


EE E33 


我 的 电脑 HEEY_CURRENT_WSER\Software\Microsoft\Windows\CurrentVersion\Expl orer\ComDl e320pens ae 是 RU | 


6. 42 最 近 打 开 文 档 的 注册 表 子 键 


6.2.4 电子 邮件 取证 


电子 邮件 已 经 成 为 网 民 最 闸 使 用 的 网 络 服务 。 很 多 网 络 犯 罪案 件 中 部 涉及 电子 邮件 的 
取证 。 检 查 电 子 邮件 需要 注意 其 传输 原理 和 编码 的 特殊 性 ,取证 人 员 需 要 和 擎 担 相应 的 取证 
技巧 和 技术 。 

1. 电子 邮件 的 诞生 与 发 展 

计算 机 发 展 的 早期 ,网 已 经 有 一 些 程序 能 够 初步 实现 传递 信息 的 功能 ,但 是 由 于 规则 不 
统一 ,其 使 用 受到 很 大 限制 。1972 年 马 椭 诸 塞 州 刘 桥 的 博 尔 特 。 贝 拉 尼 死 。 纽 曼 人 研究 公司 


@ 刘 浩 阳 . 电 子 邮件 的 调查 与 取证 . 大 连 : 辽宁 次 专 学 报 ,2007(5) : 27-31. 
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(CBBN) 的 工程 师 汤 姆 林 和 森 (Ray Tomlinson) 在 参与 ARPAnet 网 络 的 建设 和 维护 工作 过 程 
中 ,对 已 有 的 传输 文件 程序 以 及 信息 程序 进行 研究 ,研制 出 一 和 套 新 程序 , 它 可 通过 电脑 网 络 
发 送 和 接收 信息 ,再 也 没有 了 以 前 的 种 种 限制 。 为 了 让 人 们 都 拥有 易 识 别 的 电子 邮箱 地 址 ， 
汤姆 林 和 森 决 定 及 用 @@ 符 扎 , 符 扎 前 面 加 用 户 名 ,后 面 加 用 户 邮 箱 所 在 的 地 址 。 成 为 一 个 统一 
的 标准 。 至 此 电子 邮件 诞生 。 

传统 的 电子 邮件 程序 是 基于 CS(Client/Server) ,例如 Euroda、Outlook 、 Foxmail 等 ,用 
户 必须 使 用 客户 端 程序 才能 够 收发 电子 邮件 。 互 联网 的 普及 使 得 人 们 可 以 通过 任何 联网 的 
计算 机 在 网 络 上 在 线 收发 电子 邮件 ,而 不 是 只 能 在 他 们 家 中 或 公司 的 电脑 利用 客户 端 收发 
邮件 。 在 线 邮 件 首 先是 由 Hotmail 推广 的 ,目前 主流 的 互联 网 应 用 提供 商 CICP) 都 提供 在 
线 邮件 服务 。 新 兴 的 网 络 应 用 ,例如 短信 、QQ 等 社交 工具 的 兴起 对 传统 邮件 服务 造成 了 很 
大 的 冲击 。 根 据 中国 互 联网 络 信 息 中 心 (CNNIC){ 第 三 十 五 次 中 国 互联 网 络 发 展 状 况 统计 
报告 》, 我 国 网 民有 38. 8%‰ 将 电子 邮件 视 为 最 常 使 用 的 Internet 服务 ,这 一 比例 逐步 降低 。 
但 是 电子 邮件 并 不 会 退出 网 络 ,在 商业 沟通 .社会 联络 方面 还 有 着 不 可 符 代 的 作用 。 

2. 电子 邮件 的 传输 原理 

电子 邮件 可 以 通过 客户 端 ,使 用 POP3/IMAP、SMTP 协议 来 收发 电子 邮件 ,也 可 以 通 
过 在 线 访问 ,使 用 HTTP 协议 来 收发 电子 邮件 。 

基于 客户 端 收 发 的 电子 邮件 是 通过 SMTP 和 POP3/IMAP 协议 来 进行 收发 的 。 
SMTP(Simple Mail Transfer Protocol) 协议 是 为 了 保证 电子 邮件 的 可 菲 高 效 的 传送 。 
POP3 协议 (Post Office Protocol 3) 是 C/S 皆 构 的 脱 机 模型 的 电子 邮件 协议 ,目前 已 发 展 到 
第 三 版 , 称 POP3。 它 规定 怎样 将 个 人 计算 机 连接 到 Internet 的 邮件 服务 硕 和 下 载 电子 邮 
件 的 电子 协议 。 

在 线 收 发 电子 邮件 是 目前 比较 流行 的 邮件 应 用 。 它 是 基于 Web 的 电子 邮件 收发 系统 。 
用 户 使 用 浏览 问 , 直 接 访 问 网 络 邮 箱 (HTTP 协议 ) ,不 雷 要 优 助 客户 端 ,网 络 邮箱 屏蔽 了 用 
户 接收 邮件 的 复杂 配置 ,具体 操作 由 部 署 Webmail 的 服务 器 与 SMTP 服务 器 完成 ,方便 用 
户 收 发 邮件 。 相 对 于 客户 病 收 发 电子 邮件 ,在 线 收发 电子 邮件 因为 本 地 不 留存 全 部 数据 , 取 
证 相对 困难 。 

理解 电子 邮件 在 网 络 上 传输 需要 明日 以 下 概念 : 

(1) MUA (Mail User Agent, 邮件 用 户 代 理 ): MUA 是 邮件 阅读 或 发 送 程序 , 如 
Outlook ,在 邮件 系统 中 用 户 只 与 MUA 打交道 ,MUA 将 邮件 系统 的 复杂 性 与 用 户 隅 离开 。 

(2) MTA(Mail Transfer Agent, 邮 件 传输 代理 ): MTA 是 一 个 专用 程序 ,其 作用 类 似 
于 邮局 ,用 于 在 两 个 机 器 之 间 发 送 邮 件 , MTA 决定 了 邮件 到 达 目 的 地 的 路 径 。 常 用 的 
MTA 有 Sendmail Qmail .Postfix 等 。 

(3) MDA(Mail Delivery Agent', 邮件 递交 代理 ): MTA 目 己 并 不 完成 最 终 的 邮件 发 
送 , 瑟 要 调用 其 他 的 程序 来 完成 最 后 的 投递 服务 ,这 个 负责 邮件 递交 的 程序 就 是 MDA。 最 
稼 用 的 MDA 是 Procmail。 
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6. 43 是 电子 邮件 传输 的 示意 图 。 发 送 方 利用 MUA 与 好 邮件 , 交 给 发 送 方 的 MTA， 
发 送 方 的 MTA 通过 中 继 MTA 将 邮件 传送 到 接收 方 的 MTA。 中 继 MTA 可 以 没有 ,也 可 
以 是 多 个 。MTA 与 MTA 之 间 的 通信 协议 是 SMTP。MDA 将 邮件 递交 给 接收 方 的 邮箱 ， 
接收 者 可 以 通过 三 种 方式 与 邮箱 交互 : POP 协议 ; IMAP(Internet Mail Access Protocol) 
协议 ; 利用 HTTP 协议 直接 访问 。 


存储 服务 各 存储 服务 匣 


客户 机 。 ”客户 机 客户 机 客户 机 


图 6.43 电子 邮件 传输 过 程 


3. 电子 邮件 的 编码 方式 

(1) 编码 的 必要 性 

万 维 网 联盟 (W3C) 发 布 的 RFC822D(Standard for ARPA Internet Text Messages ,已 
经 被 RFC2822 取代 ) 协 议定 义 了 电子 邮件 主体 结构 和 邮件 头 字 段 ,但 是 没有 定义 邮件 体 的 
格式 。 因 此 E-mail 只 能 传送 ASCII 码 ( 美 国 国家 标准 信息 交换 码 ) 格 式 的 文字 信息 ,ASCII 
码 是 7 位 代码 , 非 ASCII 码 格式 的 信息 (例如 图 片 、 声 音 ) 在 传送 过 程 中 就 需要 先 编 成 7 位 
的 ASCII 代码 ,然后 才能 通过 E-mail 进行 传送 。 如 果 不 经 过 编码 , 则 在 传送 过 程 中 会 因为 
ASCIH 码 7 位 的 限制 而 被 切割 ,切割 后 收 信和 方 只 会 看 到 一 堆 杂 乱 的 ASCI 字符 。 只 有 经 过 
编码 后 的 文件 ,在 传送 过 程 中 才 会 顺利 传送 ,不 会 有 ”被 截 掉 一 位 "的 危险 。 

(2) 稼 见 的 三 种 编码 标准 

QD UU 编码 (UNIX to UNIX encoding); 

MIME 标准 (Multipurpose Internet Mail Extensions) 编码 ; 

Binhex 编码 。 


DD http://www. w3. org/Protocols/rfc822/ 


第 6 草 电子 数据 取证 技术 149 


4. 电 寺 邮件 的 取证 

(1) 电子 邮件 存储 位 置 

目前 三 沁 使 用 的 电子 邮件 收发 方式 有 两 种 : 客户 闯 软 件 收发 和 在 线 收 发 。 基 中 客户 病 
软件 收发 的 主流 产品 为 Outlook Outlook Express、Foxmail、Lotus Notes。 

Microsoft Outlook Express 是 随 Windows 2000/XP 的 了 正 浏 览 大 捆绑 安 少 的 。 
Outlook Express 中 电子 邮件 存储 位 置 为 : 

CO Outlook Express 5/6(Windows 2000/ XP) 

存放 在 \Documents and Settings\(User Name)\Local Settings\Application Data\ 
Identities\{User ID}\Microsoft\Outlook Express\ 中 的 收 件 箱 . dbx, 发 件 箱 . dbx, 已 发 送 邮 
件 . dbx, 已 删除 邮件 . dbx, 章 稳 . dbx。 

Outlook 是 OFFICE 办 公 套 件 的 一 部 分 。 在 安装 OFFICE 时 可 以 选择 安装 OUTLOOK 

其 电子 邮件 数据 默认 封装 在 \Documents and Settings\(User Name)\Local Settings\\ 
Application Data\Microsoft\Outlook\ 以 pst 为 后 组 的 文件 中 。 

3) Foxmail 

国人 张 小 龙 开发 的 Foxmail( 目 前 已 经 被 腾讯 公司 收购 ), 优 势 是 方便 快捷 的 操作 和 适 
合 国人 习惯 的 使 用 方法 。 是 除 OE 之 外 另 一 大 流行 的 客户 端 邮件 收发 软件 。 

Foxmail 早期 的 电 了 于 邮件 默认 存储 路 径 在 安 梁 目录 下 的 mail\(User ID 八 。 邮 箱 后 绥 
为 box, 邮 件 内 容 不 加 密 。 目 前 Foxmail 7 罗 认 存储 路 径 在 安 鸳 目录 下 的 Data\mails, 已 经 
玉 用 加 密 保 存 。 

(2) 邮件 头 查 看 

邮件 头 作为 电子 邮件 最 重要 的 部 分 ,存储 了 电子 邮件 传输 过 程 的 重要 信息 。 取 证 人 员 
可 以 通过 邮件 头 来 检索 电子 邮件 传输 的 路 线 ,定位 发 送 者 的 IP 地 址 。 

(OU Microsoft Outlook Express 

其 检查 邮件 头 的 方法 如 下 : 

第 一 步 : 选中 邮件 ,鼠标 右 击 邮件 的 主题 ,在 快捷 染 单 中 选择 “属性 ”, 如 图 6. 44 所 示 。 

第 二 步 : 在 属性 窗口 中 单 击 "详细 信息 ”, 如 图 6.45 所 示 。 

通过 窗口 ,您 就 可 以 看 到 该 邮件 标 涉 的 评 细 信息 了 。 为 了 查看 方便 ,可 以 蛙 击 “邮件 来 
源 ” 按 钮 ,就 会 放大 当前 的 窗口 。 

©Q) Microsoft Outlook 

Outlook 随 看 版 本 的 不 同 , 查 看 邮件 头 的 方式 不 一 样 。 以 Outlook 2010 为 例 ,查看 邮件 
头 方法 是 双击 打开 邮件 ,在 圈 中 点 击 备 头 ,如 图 6.46 和 图 6.47 所 示 。 

Foxmail 

查看 邮件 头 方法 : 

第 一 步 : 选中 邮件 , 鼠标 右 击 邮件 的 主题 ,在 快捷 沫 单 中 选择 "邮件 信息 ?一 “原始 信 
息 ” ,如 图 6. 47 所 示 。 
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图 6. 47 原始 信息 
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第 二 步 : 在 打开 的 “邮件 选项 ”属性 窗口 的 的 部 就 可 以 找到 邮件 涉 , 如 图 6. 48 所 示 。 
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图 6. 48 头 信息 


由 在 线 邮箱 

在 线 邮 箱 的 种 类 繁多 ,其 查看 邮件 头 的 方法 也 不 一 样 。 某 些 在 线 邮 箱 还 不 允许 查看 邮 
件 头 ,需要 使 用 客户 闯 将 邮件 下 载 下 来 才能 够 查看 邮件 头 。 例 如 搜狐 邮箱 是 查看 “ 源 文 件 ” 
才能 看 到 邮件 头 ; QQ 邮箱 是 “显示 邮件 原文 ?来 查看 邮件 头 。 

(3) 分 析 电 子 邮件 头 

除非 使 用 转发 服务 第 和 忆 级 伪造 技术 ,否则 电子 邮件 中 总 会 包含 发 件 人 刁 份 的 有 歼 信 
最 ,Received 头 和 Message ID 是 仍 骂 电子 邮件 的 最 有 用 的 两 种 电子 邮件 信息 。 

Q) Received 头 

邮件 中 的 From 和 To 是 由 发 件 人 日 己 规 定 的 ,一 些 垃 圾 邮件 发 送 者 为 欺骗 邮件 系统 和 
用 户 通 稼 伪造 From 地 址 。 但 在 邮件 头 部 中 Received 信息 是 由 服务 器 日 动 加 上 去 的 ,通过 
比较 Received 域 ( 特 别 是 第 一 次 经 过 的 邮件 服务 器 的 Received 域 ) 可 以 识别 出 伪造 的 发 件 
人 地 址 。Received 头 包 含 了 电子 邮件 地 址 和 IP 地址。 虽然 Received 头 易 于 伪造 ,但 是 对 
于 发 件 人 的 信息 (也 就 是 处 于 最 底层 的 Received 头 ) ,基本 上 是 不 可 能 伪造 的 。 这 就 为 取证 
人 员 确 定 邮件 发 送 源 计算 机 IP 地 址 提供 了 最 有 效 的 信息 。 队 此 之 外 ,能 够 显示 发 送 源 计 算 
村 IP 的 还 有 X-Originating-IP 标识 和 从。 

G@ Message-ID 

Message-ID 是 邮件 系统 在 创建 邮件 时 的 唯一 编号 (参考 RFC28229)。 这 是 由 发 件 方 
邮件 服务 硕 赋 给 这 封 煞 件 的 编号 。 与 其 他 编号 不 同 , 这 个 编号 上 月 始 人 至 终 跟随 邮件 。 是 全 球 
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唯一 的 ,两 个 不 同 的 电子 邮件 不 会 有 相同 的 Message-ID。 它 和 Received 头 中 的 ESMTP ID 
导 是 不 一 样 的 。Message-ID 是 一 直 伴 随 整 个 邮件 的 ,而 其 他 ID 则 仅仅 在 特定 的 邮件 服务 
器 上 的 邮件 传输 阶段 相关 联 。 因 此 该 机 器 ID 号 对 其 他 机 器 来 说 没有 任何 意义 。 有 时 候 
Message-ID 包含 了 发 送 者 邮件 地 址 和 发 送 时 间 在 其 中 。 

虽然 Message-ID 也 会 被 伪造 。 但 是 大 部 分 情况 下 , 它 可 以 提供 有 效 的 信息 。 在 犯罪 嫌 
疑 人 已 经 删除 了 计算 机 上 的 电子 邮件 后 ,还 可 以 通过 检查 MTA 上 的 发 送 记 录 , 通 过 
Message-ID 来 确定 犯罪 嫌疑 人 发 送 机 器 的 IP 地 址 。 这 在 有 着 自己 电子 邮件 服务 器 的 企业 
中 尤为 有 用 。 

除 此 之 外 , 表 6. 19 所 示 的 RFC2822 邮件 头 字 段 对 于 分 析 也 非常 有 用 : 

表 6. 19 RFC2822 对 邮件 头 的 规定 


字 段 说 朋 
From 发 送 方 

To 接收 方 

Ce 副本 接收 方 
Becc 密 件 收 件 方 
Subject 邮件 主题 

date 邮件 的 发 送 时 间 
Reply-To 回复 时 的 接收 方 


(4) 查看 信 体 内 容 
目前 绝 大 多 数 电 子 邮 件 编码 方式 是 遵守 MIME 编码 标准 的 ,MIME 标准 包括 QP 和 
base64 两 种 编码 方式 。 邮 件 信 体 不 经 过 解码 是 无 法 正常 查看 的 。 


分 


工具 使 用 


在 实际 取证 应 用 中 ,现场 解码 效率 很 低 不 现实 ,因此 有 必要 使 用 工具 
来 辅助 解码 。 在 取证 过 程 中 ,多 使 用 Encase 和 乱码 察看 天 。 
更 为 专业 的 邮件 取证 工具 为 Intella 和 Nuix Forensics。 


例如 ,一 封 使 用 base64 编码 的 电子 邮件 ,在 Foxmail 中 查看 信 体 ,编码 如 图 6. 49 所 示 。 

本 市 从 原理 和 实践 方面 曾 述 了 电子 邮件 的 传输 机 制 和 取证 方法 。 事 实 上 ,电子 邮件 的 
取证 就 是 回溯 电子 邮件 的 传输 过 程 ,获取 隐 仿 在 电子 邮件 中 的 证 据 。 电 子 邮 件 的 取证 主要 
应 用 于 涉及 计算 机 网 络 的 诈骗 ` 恐吓 .经济 犯罪 等 犯罪 活动 中 。 在 实践 中 ,电子 邮件 已 经 多 
次 被 检 法 部 门 作为 证 据 采 信 。 
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DualS59EfI069q8 raiy625 /bPMsuLKRIFEDhCAQETCQORLSO+LSOtLSO+tLSOtLSONC syrO £535w0FN ] hw 
HiOwHCOwH el 


Base 64 编 码 的 信 体 内 容 
区 乱码 察看 露 wv2. 60 


| 编码 : ME WE gr 过 | 解码 : mg WE QP 地 WW 其 他 自动 | 打开 保存 

| 六 蜡 鹿 | | 内 玛 转 换 : BI65->68 68->BIG5 | | 选项” 示例” 关于 | | 返回 略 
源 窗口 ( 只 要 扼 动 文件 至 此 即 可 在 源 窗口 中 打开 ) 

DQAql59fT08q8 /reiy825/bPNsuLKIKOhCAk TCQAOKLSOtLSOtLSOtLSOtLSONCsyr OFS35mOKI i A 

Ni OwNCOyNegON| 


结 琳 窗 口 ( 只 要 拖 动 交 件 全 此 即 可 芷 结果 窗口 中 打开 ) 


电子 邮件 发 送 过 程 测试 


2UUP-Ud-2b 


刑 起 仙 请 与 我 蝶 姑 a1lto: smsdrogsbell. com. en htitp:// drqsoft. yeah. ret 


6. 49 ”使 用 乱码 察看 右 来 解码 


0.2.S$ 回收 站 取证 


被 删除 的 信息 ,往往 包含 看 使 用 者 的 重要 信息 。 因 此 ,对 于 被 删除 文件 的 恢复 ,一 下 是 
电子 数据 取证 的 重要 部 分 。 在 Windows 操作 系统 中 ,用 户 选择 删除 一 个 文件 后 ,这 个 文件 
没有 真正 的 删除 ,而 是 进入 了 叫 回 收 站 (Recycle Bin) 的 地 方 。 回 收 站 是 用 户 删 除 文件 的 “后 
悔 药 ,如果 删 除 错 了 或 者 想 找 回 之 前 删除 的 文件 ,只 需要 在 回收 站 中 进行 操作 即 可 。 
Windows 的 这 个 特性 ,使 得 回收 站 成 为 一 个 重要 的 信息 来 源 。 通 过 分 析 回 收 站 可 以 知道 被 
删除 文件 的 信息 ,包括 原始 路 径 、 删 除 时 间 和 文件 大 小 ,可 以 利用 它 随 时 将 文件 恢复 。 

1. 回收 站 的 运行 机 制 

在 Windows 系统 中 ,回收 站 始 于 Windows 95。 在 不 同 版 本 的 Windows 中 ,回收 站 文 
件 的 格式 和 定义 是 不 同 的 。 基 本 上 分 为 三 类 : Windows 95/98/ME、Windows NT/2K/XP 
和 Windows Vista/7/2008。 回 收 站 记录 文件 的 格式 是 与 操作 系统 种 类 有 关 的 ,而 与 分 区 格 
式 无 关 。 

鲁 盘 格式 化 后 ,并 没有 建立 回收 站 文件 。 当 用 户 第 一 次 删除 文件 时 ,系统 就 会 为 每 个 用 
户 生 成 一 个 回收 站 目录 ( 视 操 作 系 统 版 本 ), 同 时 在 其 中 生成 一 个 回收 站 记录 文件 。 
Windows 95/98/me/NT/2K/XP 是 INFO2; Windows Vista/7/2008 是 在 用 户 登 录 时 就 生 


第 6 章 电子 数据 取证 技术 155 


成 回收 站 目录 ,每 个 删除 文件 都 设立 一 个 回收 站 记录 文件 。 回 收 站 的 位 置 取决 于 Windows 
的 版 本 ,如 表 6. 20 所 示 。 
表 6.20 回收 站 记录 文件 的 存储 位 置 
操作 系统 分 区 格式 回收 站 位 置 
Windows 95/98/ME 分 区 :\Recycled\INFO2 
FAT | ‘vcled\ INFO2 
Windows NT/2K,/XP 分 区 :\Recycled\INF0O2 . 
分 区 \Recycler\ (SID) \INEO 
/ a FAT32 分 区 :\$ Recycle. Bin\ 
pr FAT | 
indows Vista/7/2008 分 区 :\ $ Recycle. Bin\(USER SID) 


注 : Windows 95/98/ME 不 支持 NTFS 分 区 


在 Windows NT/2K/XP/Vista/7/2008 中 , 当 使 用 NTEFS 分 区 时 ,回收 站 有 个 重要 特 
性 : 它 是 以 安全 标识 符 (Security Identifiers,SID) 来 区 别 不 同 用 户 的 回收 站 信息 的 。SID 为 
域 或 本 地 计算 机 中 创建 的 每 个 账户 分 配 的 唯一 ID 字符 串 , 因 此 可 以 通过 SID 来 追溯 哪个 
用 户 删 除了 相关 文件 。 

2. 回收 站 的 取证 

在 检查 回收 站 之 前 ,首先 要 确定 用 户 司 用 了 回收 站 。 在 Windows 版 本 中 , HKEY _ 
LOCAL MACHINE\ SOFTWARE\ Microsoft \ Windows \ CurrentVersion \ Explorer \ 
BitBucket 中 的 NukeOnDelete 键 值 设 为 “0x00”, 就 是 启用 回收 站 , 设 为 “0x01” 就 是 禁用 回收 站 。 

当然 ,如果 在 回收 站 属性 里 设置 “不 将 文件 移 到 回收 站 中 , 移 除 文件 后 立即 将 其 删除 ” 
(如 图 6. 50 所 示 ) 或 者 使 用 “Shift 十 Delete”, 删 除 文 件 均 不 会 保存 在 回收 站 中 。 


区 回收 站 层 性 


回收 站 位 站 可 用 空间 
BANES... 1.77 TB 
TO0Ls... 976 5B 


选 定位 置 的 设置 
加 自 定义 大 小 (C): 
52047 


移 际 文件 后 立即 将 其 呈 


时 示 星 队 确 读 对 周 框 包 ) 


确定 _ 应 用 内) 


图 6.50 回收 站 的 设置 


(1) Windows 95/98/ME/NT/2K/XP 回收 站 文件 分 析 
Windows 95/98/ME/NT/2K/XP 的 回收 站 由 回收 站 记录 文件 (INFO) 和 被 删除 文件 
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组 成 。 其 中 INFO2 文件 头 部 占 20 字 节 ,其 后 顺序 排列 着 删除 记录 。 在 Windows 95/98/ 
ME 系统 下 每 条 删除 记录 长 280 字 节 ,包括 原始 路 径 (260 字 节 )、 索 引号 (4 字 节 )、 删 除 日 期 
(8 字 节 ) 等 信息 。 在 Windows NT/2K/XP 系统 下 每 条 删除 记录 长 800 字 节 ,与 FAT 文件 
系统 的 删除 记录 兼容 ,多 出 来 的 520 个 字 节 是 原始 路 径 的 UNICODE 编码 。 

INFO2 文件 结构 : 首先 是 INFO2 文件 头 , 记 录 INFO2 每 个 删除 记录 的 长 度 。 随 后 是 
每 个 删除 记录 。 删 除 记 录 有 痢 统 一 的 格式 ,如 表 6. 21 所 示 。 


表 6.21 Windows NT/2K/XP 系统 INFO2 文件 结构 


INFO2 文件 头 删除 记录 大 小 绝对 偏 移 0x0C-0D 
以 下 以 0x10 0 
删除 的 文件 名 0x00 一 320 之 间 
a 删除 记录 编号 Ox108~10B 


回收 站 所 在 分 区 0x10C~10F 
删除 时 间 0 0x110 一 117 
届 陈 文件 的 条 表 大 不 DC 


(2) Windows Vista/7/2008 回收 站 文件 分 析 

Windows Vista/7/2008 操作 系统 已 经 抛弃 了 INFO2 文件 保存 删除 文件 信息 的 做 法 ， 
而 是 为 每 个 被 删除 文件 建立 一 个 删除 记录 。 通 过 分 析 每 个 删除 记录 ,可 以 了 解 文件 的 原始 
信息 。 

Windows Vista/7/2008 操作 系统 将 删除 文件 信息 保存 在 “2 系统 目录 加 \$Recycle. 
Bin\《USER SID》\" 目 录 中 。 如 图 6. 51 所 示 , 当 一 个 文件 被 删除 时 , 它 将 被 进行 两 个 操作 。 
首先 原始 的 删除 文件 被 以 “$ R” 开 头 重新 命名 ,后 面 跟 看 随机 生成 的 字符 或 数字 组 合 , 后 级 
名 与 原来 文件 一 致 。 与 此 同时 ,生成 一 个 以 “$11” 开头 的 文件 ,后 面 字 符 和 数字 组 合 以 及 后 
级 名 与 “$ R” 相 同 。 以 “$ 1” 开头 的 文件 为 对 应 的 以 “$ R” 开 头 的 文件 的 回收 站 记录 文件 。 
当 回 收 站 被 清空 时 ,两 个 文件 会 被 同时 删除 。 这 样 ,每 个 删除 文件 都 有 自己 的 回收 站 记录 
hs 


11 :33 

11 :SS 本 

19:28 544 $ITA9B2UD ,TXT 
19:28 544 $ICNSXOH. DOC 
1 :28 544 $IUPWWHMC. TXT 
14 :88 169 $RASB2UD ,TXT 
11:36 26,112 $RCNSXOH .DOC 
11:37 16 $RUPWWMC ,TXT 
16 ;28 129 DESKTOP .INI 
19:28 544 _IGDOSOW ,TXT 
19 :28 544 _ITUBEYN3 ,TXT 
13:43 19 _RGDOSOW ,TXT 
13:43 14 _RUBEYN3 ,TXT 

11 个 文件 29 ,191 字 节 


2 沾 目 录 1,614,284,238 可 用 字 节 


6.51 Windows Vista/7/2008 的 回收 站 文件 
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开头 以 “$1” 的 回收 站 记录 文件 , 它 主要 包含 以 下 删除 记录 信息 : 被 删除 文件 原始 路 
径 被 删除 文件 大 小 、 被 删除 文件 的 删 际 时 间 (64 位 Windows 时 间 )。 这 些 信息 部 是 以 
Unicode 编码 存储 。 因 为 每 一 个 被 删除 文件 单独 建立 了 一 个 回收 站 记录 ,因此 INFO2 中 的 
编号 便 失 去 意义 ,不 存在 编号 。 每 一 个 回收 站 文件 的 大 小 都 是 544 字 节 。 使 用 十 六 进 制 编 
辑 需 来 查看 其 内 部 结构 ,如 表 6. 22 和 表 6. 23 所 示 。 
表 6.22 Windows Vista/7/2008 回收 站 文件 数据 结构 


Df tset 
00000000 | 
00000010 绝对 偏 移 量 0x00 一 07(8 个 
00000020 | 了 ， 
00000030 字 节 ) 和 总 是 “01000000?”。 
00000040 de 
00000050 0x08 到 0x0F(4 个 字 厄 中 ) 
00000060 | pe 
00000080 0 ee A 
i 6600H = 26112D = 25 1 
000000A0 ce -地 
000000B0 子 刷 
000000C0 
000000D0 
000000E0 
000000F0 I 
00000100 0x10 一 17 的 8 个 字 节 是 文 
00000110 \ 位 
0000120 件 删 除 时 间 总 yy 604 位 
00000130 Windows/FILETIME 时 间 
00000140 
00000150 格式 表示 这 里 为 
00000160 
00000170 “60A9DF398FA8CB01 ”一 
00000180 
00000190 2010 年 12 月 31 日 10; 
000001A0 
000001B0 05 :41 
000001C0 
000001D0 
000001E0 
000001F0 0x18 一 0x21F 为 被 删除 的 
00000200 | 
00000210 文件 名 
表 6.23 Windows Vista/7/2008 回收 站 记录 的 文件 结构 
数据 结构 长 度 ( 字 节 ) 偏 移 量 

文件 头 0x00 

被 删除 文件 大 小 0OXx08 一 0OXE 

文件 删除 时 间 0x10 一 0xl7 

被 删除 的 文件 名 (全 路 径 ) 0xl8~0x21F 


日 前 ,主流 的 取证 工具 ,例如 Encase、FTK 必 支 持 回 收 站 文件 的 解析 。 但 是 由 于 操作 系 


统 的 版 本 叶 臻 回收 站 的 结构 和 运行 机 制 部 有 所 人 不同。 因此 还 需要 在 理解 回收 站 的 结构 和 机 


制 的 前 提 下 ,利用 相应 的 工具 进行 工作 。 
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可 以 解析 回收 站 文件 的 工具 有 Encase、X-ways Forensics 等 综合 取证 
工具 ; 还 有 Rifiuti、RecycleReader 等 。 


工具 使 用 


6.2.6 聊天 应 用 取证 


PC 上 比较 知名 的 即时 通信 平台 包括 QQ、 阿 里 旺旺 、 飞 信 等 ,国外 知名 的 即时 通信 平台 
则 包括 AIM、Skype、Yahoo!l Messenger 等 。 即 时 通信 和 是 当前 互联 网 最 为 流行 的 通信 方式 ， 
这 些 系 统 的 当前 活跃 用 户 痢 在 1 亿 以 上 。 在 中 国 最 流行 的 QQ 聊天 平台 ,注册 用 户 已 经 超 
过 20 亿 , 同 时 在 线 用 户 基本 上 保持 在 2 亿 左 右 。 即 时 通信 应 用 发 起 于 PC 平台 , 占 PC 主导 
地 位 的 Windows 平台 是 最 主要 的 分 析 对 和 象 。 
在 PC 即时 通信 工具 之 外 ,近年 来 更 为 迅猛 发 展 的 领域 是 在 手机 端 ,发 起 于 手机 平台 的 
微 信和 ,日 本 的 Line 以 及 风靡 欧美 的 Whatsapp 等 都 有 着 巨大 的 用 户 群 。 此 外 ,还 存在 一 个 
专门 面 回 企业 用 户 的 即时 通信 工具 服务 市 场 , 在 基本 的 文字 文件 .视频 等 通信 功能 之 外 , 企 
业 即 时 通信 工具 通过 和 邮件 .计划 任务 、 企 业 通 讯 录 白板 等 应 用 的 整合 ,满足 了 企业 用 户 对 
安全 性 .实用 性 的 需求 。 
这 里 以 PC 即时 通信 为 例 , 介 绍 即 时 通信 应 用 的 一 般 分 析 方 法 ,这 些 方法 可 以 扩展 到 手 
机 和 企业 即时 通信 应 用 的 分 析 上 。 
1. 即时 通信 的 一 般 模型 
大 部 分 即时 通信 网 络 使 用 客户 端 - 服 务 器 模型 如 图 6. 52 所 示 , 服 务 需 由 服务 提供 者 维 
护 ,用 户 下 载 指定 的 客户 端 ( 也 可 以 是 协议 碌 容 的 客户 病 ) ,注册 、 登 录 并 连接 到 服务 关上 。 
注册 用 户 可 以 添加 其 他 即时 通信 用 户 为 好 友 ,已 经 添加 的 好 友 保 存在 好 友 列 表 中 ,好 友之 间 
可 以 通过 服务 器 或 直接 传递 文字 文件 .语音 和 视频 信息 ,用 户 可 以 创建 .加 入 特定 的 群 组 从 
-人 
群 组 信息 


接收 的 文件 接收 的 文件 


图 6. 52 即时 通信 应 用 的 一 般 模 型 
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而 在 群 组 成 员 间 发 送信 息 。 即 时 通信 的 一 般 模 型 如 图 6. 52 所 示 。 

2. 即时 通信 应 用 数据 结构 

即时 通信 应 用 的 功能 模型 有 其 一 般 性 ,数据 结构 同样 具有 相似 性 。 下 面 以 微软 的 
Skypeu 即时 通信 程序 为 例 说 明 其 典型 数据 结构 。Skype 程序 是 以 语音 通信 为 特色 的 ,使 用 
P2P 的 网 络 通 信和 模式 ,可 以 和 好 友 进 行 语 首 和 视频 聊天 ,当然 也 支持 文字 的 聊天 。Skype 应 
用 数据 的 保存 位 置 大 致 如 下 : 

。 XP 及 以 前 : C:\Documents and Settings\| USERNAME |\ Application Data\Skype\ 

。 Vista 之 后 : C:\Users\|L USERNAME 八 AppData\RoamingN\Skvypen 

在 Skype 数据 目录 下 有 一 个 Share. xml 文件 ,其 中 保存 有 应 用 程序 版 本 .默认 登录 用 
户 、 最 后 登录 IP、 最 后 登录 时 间 等 信息 。 

具体 用 户 的 数据 保存 在 下 面 以 用 户 ID 命名 的 子 目 录 中 ,包括 用 户 设 置 ,用户 好 友 用户 
通信 日 志 等 各 种 数据 ,如 图 6. 53 所 示 。 


组 织 "” 包含 到 库 中 v 共享 刻录 新 建文 件 赤 ~ 团 和 
名 称 修改 日 其 类 型 大 小 
Ea) Dropbox J chatsync 2015/4/6 16:37 文件 去 
及 下 载 昌 ecache 2014/6/10 19:46 文件 去 
上 点 面 BE httpfe 2014/6/10 20:26 ” 立 忻 夹 
各 | 最 i 近 访问 的 位 置 logs 2014/6/10 19:46 亦 件 来 
出 media 2014/6/10 19:46 亦 件 夹 
库 出 media_messaging 2014/6/10 1946 冯 忻 来 
| mmanager 2013/4/11 11:12 训 性 志 
普 视 妥 中 Pictures 2014/6/10 19:46 文件 去 
图 片 国 qikdb 2015/4/11 11:12 文件 志 
文档 i :ettings 2014/6/10 19:46 文件 赤 
动 音乐 加 simcache 2014/6/10 20:26 ”文件 夹 
J thmanager 2015/4/11 11:12 ”文件 来 
吴 计算 机 昌 thumbnails 2014/6/10 19:46 文件 来 
则 voicemail 2014/6/10 19:46 交 件 来 
印 网 络 男 bistats.db 2015/A/111:12 Data Base File 44 KB 
| | config.lck 2014/6/10 19:46 LCK 文件 0 KB 
图 configxml 2015/4/11 11:12 ”XML 文档 11 KB 
同 dcdb 2015/4/1111:12 Data Base File 40 KB 
加 eas.db 2015/A/11 11:12 Data Base File 56 KB 
同 keyval.db 2015/4/11 11:09 Data Base File 52 KB 
后 mainudb 2015/4/1111:12 Data Base File 336 KB 
网 msn.db 2015/4/11 11:08 Data Base File 32 KB 
Sstatistics.db 2015/4/1111:12 Data Base File 40 KB 


6.53 Skype 用 户 数 据 目录 


用 户 数 据 目 录 中 有 一 个 “config. xml” 文 件 ,包含 了 当前 账号 的 配置 和 好 友 列 表 信 息 。 
目录 中 的 其 他 文件 都 是 SQLite 数据 库 文件 ,数据 库 文件 中 最 重要 的 是 “main. db” 文 件 。 使 
用 SQLite Browser 工具 打开 数据 库 , 可 以 看 到 各 个 表 的 结构 和 数据 。 我 们 可 以 大 致 列 出 部 
分 表 的 用 途 和 主要 数据 结构 ,如 表 6. 24 和 图 6. 54 所 示 。 另 外 一 些 表 的 功能 和 结构 请 读者 
自行 分 析 。 


”QQ., 微 信 等 国产 聊天 应 用 多 采用 加 密 方 式 ,分析 起 来 较为 困难 ，。 
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表 6.24 Main. db 文件 结构 
序号 数据 表 用 途 
Accounts 账号 信息 ,包含 用 户 ID、 姓 名 .邮箱 .注册 时 间 和 国家 等 
Calls 好 友 语 音 通信 记录 ,包括 对 方 账号 `. 开 始 时 间 .通话 时 长 等 
ContactGroup 联系 人 的 分 组 记录 信息 
Contacts 联系 人 的 信息 ,包括 对 方 账号 .姓名 、 国 籍 、 备 注 等 
Messages 消息 记录 ,包括 发 送 人 接收 人 、 发 送 时 间 内容 等 
Transfers 文件 发 送 记 录 ,包括 对 方 账号 .文件 路 径 .文件 名 称 、 发 送 时 间接 收 时 间 等 


: BB Now Database 思 Open Database 村 三 fts Chanses Bovert Changss 


| 站 | 下 


| +880287805590 /NLL 
NO WL 
| VDL NU 


We 六 


Epese plylele pp|lpe|le BB|. 


Elp|lIelelplp|iele|e 


| NOEL NCLL 


ey sf 14 攻 昌 加 国 


图 6. 54 SKYPE“main. db” 数 据 库 文件 的 部 分 结构 和 内 容 


在 用 户 目 录 下 的 “chatsync” 子 目录 中 ,里 面 有 很 多 “. dat” 文 件 , 这 是 以 加 密 方 式 存 储 的 
聊天 记录 。 


Skype ChatSync 数据 目录 分 析 和 解析 工具 能 够 对 Skype 聊天 记录 进 
行 解析 外 ,但 是 这 个 工具 不 支持 Unicode 的 解码 ,有 兴趣 的 读者 可 以 阅读 
文 草 和 源 代码 。 


工具 使 用 


http:/ /itsecuritylab. eu/index. php/tag/read-skype-chatsync-files/ 
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6.2.7 内存 取证 


计算 机 中 所 有 程序 的 运行 都 是 在 内 存 中 进行 ,其 作用 是 用 于 暂时 存放 CPU 中 的 运算 
数据 ,以 及 与 便 盘 等 外 部 存储 希 交 换 的 数据 ,内 存 反 映 了 操作 系统 和 应 用 程序 最 重要 的 状态 
信息 ,也 就 是 “当前 运行 ?状态 信息 ,包括 操作 系统 .运行 的 程序 活动 网 络 连接 .打开 的 文件 
句柄 等 等 各 类 动态 信息 。 木 马 程 序 出 于 隐藏 的 目的 ,可 以 对 在 线 取 证 工具 造假 ,为 API 或 
系统 调用 返回 修改 的 数据 ,但 其 程序 月 身 和 数据 绪 构 在 内 存 中 是 真实 存在 的 。 针 对 一 些 仅 
存在 于 内 存 中 中 .关机 即 消失 的 木马 ,内 存 取证 是 唯一 的 查证 手段 。 内 存 取 证 是 指 对 计算 机 
中 的 物理 内 存 (RAM) 进 行 分 析 的 技术 。 

1. 内 存 获 取 

在 开始 进行 内 存 取证 之 前 ,需要 对 Windows 的 内 存 进 行 获取 。 内 存 获取 是 在 现场 进行 
的 ,根据 案件 和 特定 对 象 的 不 同 , 内 存 获 取 的 机 会 也 许 只 在 特定 的 时 间 段 存在 。 一 般 来 说 ， 
在 关机 操作 之 后 这 一 机 会 就 会 消失 。 国 外 有 关于 低温 情况 下 内 存 数据 获取 和 分 析 研 究 ， 
但 这 只 有 在 实验 室 和 极 问 情况 下 才 会 使 用 。 在 实验 室 环境 下 ,可 以 利用 内 存 取证 技术 对 某 

-恶意 程序 进行 获取 和 人 研究 ,此 时 已 经 是 可 控 条 件 下 的 分 析 现 场 ,并 非 案 发 的 实际 现场 。 

市 场 上 已 经 有 不 少 内 存 获 取 的 工具 ,比较 知名 的 商业 工具 是 来 目 GMG 公司 的 
KnTToolsS 和 MoonSols 公司 的 DumpIt@ ,也 有 很 多 的 免费 工具 ,而 Rekall 项 目 中 的 
Winpmem® 是 目前 唯一 的 开源 Windows 内 存 获 取 工 具 。Winpmem 在 实际 环境 中 运行 非 
常 稳定 ,该 工具 支持 从 Windows XP SP2 到 Windows 8 之 间 的 所 有 32 和 64 位 版 本 ,输出 
格式 文 持原 始 镜像 格式 和 ELF 转 储 格式 ,而 且 可 以 同时 获取 页 交换 文件 。 下 面 以 
Winpmem 为 例 演 示 实 际 的 内 存 获 取 操 作 。 


分 


工具 使 用 


使 用 Winpmem v1. 6. 2 唯一 的 开源 内 存 获取 工具 ,内 置 32 位 和 64 位 
系统 的 驱动 ,日 动 识别 并 加 载运 行 。 


http://www. malwaretech. com/2014/12/phase-bot-fileless-rootkit. html 
http:/ /en. wikipedia. org/ wiki/ Cold_boot_attack 
http:/ /www. gmgsystemsinc. com/ knttools/ 


http://www. moonsols. com/ windows-memory-toolkit/ 


四 外 昌 四 日 


http:/ /www. rekall-forensic. comy docs/ Tools/ pmem. html 
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2. 内 存 分 析 

事实 上 内 存 取证 的 发 展 已 经 有 相当 长 的 一 段 历史 了 。2005 年 电子 数据 取证 人 研究 工作 
组 (DFRWS) 首 次 提出 针对 内 存 取 证 的 挑战 ,由 此 引出 专门 的 内 存 取 证 工具 mempaser® 
和 kntlistg。 以 这 次 挑战 为 界 , 之 前 提 到 的 内 存 取 证 是 将 其 作为 一 个 巨大 的 数据 块 进行 关 
刍 词 的 搜索 和 文件 数据 的 挖掘 ,而 之 后 则 转 问 以 内 存 中 保存 的 数据 结构 作为 重点 进行 分 析 。 

遗憾 的 是 memparser 在 闪 亮 出 现 之 后 随即 消失 于 公众 视野 ,而 kntlist 则 保持 着 小 
贵族 化 的 特点 。 内 存 取 证 的 另外 一 个 转折 点 来 自 于 2007 年 Volatility 开源 项 目的 出 现 
Volatility 项 目 将 取证 和 逆 癌 界 对 内 存 取 证 感 兴趣 的 开发 人 员 聚 集 在 一 起 ， 使 得 内 存 取证 不 
仅 出 现在 取证 场景 中 ,在 很 多 安全 、 病毒 和 密码 分 析 中 也 得 到 广泛 的 应 用 。 经 过 几 年 的 发 
展 ,Volatility 于 2011 年 发 布 了 2.0 版 本 、2014 年 8 月 发 布 2.4 版 本 ,基本 成 为 内 存 取 证 工 
具 的 代名词 。 


Volatility 是 使 用 Python 语言 编写 的 ,可 以 下 载 完 整 的 源 代 码 , 也 可 
以 下 载 Windows 下 的 独立 可 执行 程序 。 根 据 发 布 页 面 的 介绍 ,Volatility 
文 持 几乎 所 有 流行 的 操作 系统 发 行 厂 本 ,以 及 几乎 所 有 的 镜像 格 云 。 


工具 使 用 


Volatility 的 使 用 示例 如 图 6. 55 所 示 。 


国 CNWindowsvsystem32Vcrmd ,ex Wh one Pd Bed 


D: “memory>volatility.exe -ff xp_en_Sl2n.raw imageinfo 
Uo latility Foundation Volatility Framework 2 .4 
Determining profile hbased on KDBG search... 


Suggested Profilets? 3: WinKPSP2xB6,. WinWPSPIxBbG lnstantiated with WinNPSP2axg6» 
hs Laverl : IN32PagedMemoryPae Kernel Ms» 
AS Laver2 : Filefddressdpace DD: menory™“xp_en_ S12n.FAaw 
PAE type : PAE 
DIB : Bxw34f HAANL 
HDBG : Bx805 45ae8L, 
Number of Process0Fs : 1 
Image Type Service Pack» : 3 
KECR for CPU 上 日 : Gxffdff£odngL 
HUSER_SHARED_ DATA : Bxffdf@G08L 
Image date and time :2 2815—Bi1 18 B464:49 UTG+BOOg 
Inage local date and tinme : 20615-=B1=1@ 12:04:49 +A8 人 A 


6.55 Volatility 的 imageinfo 识别 镜像 文件 的 操作 系统 信息 


DD 2005 年 DFRWS 电子 数据 取证 挑战 ,http://www. dfrws. org/2005/challenge/ 

四 http://www. dfrws, org/2005/challenge/memparser. shtml 

®) http:/ /www. dfrws. org/2005/challenge/ kntlist. shtml 

四 ” Volatility 文档 项 目 ,https://code, google, com/p/volatility/ wiki/ VolatilityDocumentationProject 
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6.2.8 日志 取证 


Windows 系统 在 跟踪 记录 各 种 系统 活动 和 软件 功能 时 ,会 产生 大 量 的 数据 文件 ,这 种 
实时 记录 系统 运行 状态 的 文件 ,被 称 为 日 志 。 日 志文 件 的 取证 在 Windows 取证 方面 起 着 重 
要 的 作用 。 

1. 事件 日 志 

(1) 事件 日 志 基 本 概念 

事件 日 志 (Event Log) 是 Windows 系统 中 最 基本 的 日 志 。 它 记录 了 操作 系统 、 计 算 机 
软 使 件 甚至 是 安全 方面 的 大 量 信 息 ,传统 认为 事件 日 志 主 要 包含 系统 日 六、 应 用 程序 日 志和 
安全 日 志 三 种 。 默 认 人 情况 下 ,它们 分 别 对 应 三 个 日 志文 件 , 在 Windows XP、2000、2003 中 分 
别 为 SysEvent. Evt、AppEvent. Evt、SecEvent. Evt, 位 于 %WinDir%Nsystem32Nconfig 目录 
下 ; 在 Windows 7、2008 及 其 以 后 版 本 为 System. evtx、Application. evtx、Security. evtx ,位 
于 WinDir%\System32\winevt\Logs 目录 下 。 

系统 日 志 主 要 跟踪 各 种 各 样 的 系统 事件 ,包括 Windows 系统 组 件 出 现 的 问题 ,比如 跟 
足 系 统 司 动 过 程 中 的 事件 、 人 硬件 和 控制 部 的 故 陪 .局 动 时 某 个 驱动 程序 加 载 失 败 等 。 

应 用 程序 日 志 主 要 跟踪 应 用 程序 关联 的 事件 ,比如 应 用 程序 产生 的 次 载 DLL( 动 态 链 
接 库 ) 失 败 的 信息 将 出 现在 日 志 中 。 

安全 日 志 主 要 记录 系统 中 与 安全 相关 的 事件 信息 ,如 登录 上 网 下 网 改变 访问 权限 以 
及 系统 司 动 和 关闭 。 

(2) 事件 日 志 的 取证 

一 般 情况 下 ,我们 可 以 利用 事件 查看 器 (Event Viewer) 来 对 事件 日 志 进 行 查看 ,事件 查 
看 邵 是 事件 日 志 进 行 管 理 的 图 形 化 工具 ,如 图 6. 56 所 示 。 


日 期 克 ) :014-12-29 来 源 久 ): crypt32 
时 间 他 ): 10:16: 晤 ”类别 邓 ): 无 
关 型 全): 人情 息 . 事件 ID(I): 7 

用 户 0 WA 

计算 机 中) : 20140510-1229 


自动 更 新 检索 第 三 方 根 目 录 序 列 号 成 功 ， 从 : 
http imwe, downl oad, Windowsupdate, com/ msdownl oadi up dately 
3istatic/ trustedr, eny authyr aot ss, tt 


市 用 


6.56 用 事件 查看 器 查看 XP 中 的 事件 记录 
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事件 日 志 包 合 的 主要 信息 有 时 间 锥 .系统 名 称 . 事 件 ID、 事 件 描述 等 ,其 中 每 一 个 事件 
ID 代表 一 种 状态 ,例如 第 见 的 安全 日 志 中 的 登录 事件 ID 的 含义 如 表 6. 25 所 示 。 


表 6.25 常见 登录 事件 ID 对 照 表 


事件 ID 说 明 
528 用 户 成 功 登 录 计 算 机 
529 用 户 使 用 系统 未 知 的 用 户 名 登录 ,或 已 知 用 户 使 用 错误 的 密码 登录 
530 用 户 账 户 在 许可 的 时 间 范 围 外 登录 
531 用 户 使 用 已 禁用 的 账户 登录 
532 用 户 使 用 过 期 账户 登录 
533 不 允许 用 户 登 录 计算 机 
534 用 户 使 用 不 许可 的 登录 类 型 (如 网 络 、 交 互 .远程 交互 ) 进 行 登录 
535 指定 账户 的 密码 已 过 期 
536 Net Logon 服务 未 处 于 活动 状态 
537 登录 由 于 其 他 原因 而 失败 
538 用 户 注 销 
539 试图 登录 时 账户 已 被 锁定 。 此 事件 表示 攻击 失败 并 导致 账户 被 锁定 
540 网 络 登 录 成 功 
682 用 户 重 新 连接 了 已 断 开 的 终端 服务 会 话 
683 用 户 在 未 注销 的 情况 下 断 开 终端 服务 会 话 
详细 事件 ID 对 照 信 息 可 到 微软 官方 网 站 查阅 。 


在 Windows 2003 之 后 ,安全 日 志 引 和 人 了 工作 站 的 名 称 和 系统 IP 地 址 ,如 图 6. 57 所 
示 , 这 对 取证 工作 尤为 重要 。 
事件 屋 性 呵 四 
事件 详细 信息 | 
日 期 由 : 2014-12-2 来 源 反 ): Security 
时 间 锚 ): 10:43:17 ” 状 别 储 ): 登录 /注销 | 
类 型 EE): ”审核 成 功 ”事件 ID (1): 528 + | 
用 户 mw : Ccpc-1BFFB89DC5\Administrator | 
计算 机 血 ): CCDC-1BFFE890C5 


描述 种 ): 
CCDC-1BFFBSIDNCS 


登录 GUID:  - 
调用 方 用 户 名 : ccnpCc-1BFFB89DC5$ 
调用 方 域 : 


| . PORESROUP 

调用 方 登 录 ID: 人 0x0, 0;x3ET) | 
调用 方 埋 程 IT: 5420 

传道 服务 : 

源 网 络 地 址 =| 


ds tT fe By 环 首 ) 


确定 |】 取消 | 上 功用 中 | 


图 6.57 事件 记录 显示 了 IP 地 址 
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(3) 文件 结构 和 恢复 方法 

事件 日 志 一 直 保 持 着 清晰 .可 识别 特性 的 二 进 制 结构 ,每 个 事件 日 志 由 一 个 头 部 信息 
-系列 事件 记录 组 成 。 

@ 事件 日 志文 件 头 部 

事件 日 志 头 部 包含 在 有 效 事件 日 志文 件 的 起 始 48B 中 。 如 果 . evt 文件 没有 被 破坏 ,和 那 
么 其 头 部 信息 如 图 6. 58 所 示 。 


~” SecEvent.Evt x 让 昌 旺 | 


00000000h: 30 O00 O00 O00 4c 66 4c bo bl bb 00 bb O01 bo bo 00 ; 0O0...LfLeE....... 


00000010h: 30 00 00 00 28 O01 O00 00 be bb 00 00 O01 00 O00 00 ”0.1 n。 
D000000a0h: bo bb bl bb bb bo bb 00 80 32 09 bb 30 DO 00 O00 ; ,,.,.,. "0 


图 6.58 事件 日 志 头 部 
事件 日 志 头 部 数据 由 12 个 独立 的 DWORD 值 组 成 ,每 个 值 记 录 的 含义 如 表 6. 26 所 示 。 
表 6.26 事件 日 志 头 部 结构 


偏 移 描 述 
0 记录 大 小 
4 签名 值 (LfLe) 
16 .evt 文件 中 最 早 事 件 记 录 的 偏 移 
20 .evt 文件 中 下 一 条 事件 记录 写 人 的 位 置 仿 移 
24 下 一 条 事件 记录 的 ID 
28 最 早 事 件 记 录 的 ID 
32 . evt 文件 的 最 大 长 度 
40 事件 记录 的 保留 时 间 
44 记录 的 大 小 (与 偏 移 0 处 的 DWORD 值 相 同 ) 


可 以 看 到 ,在 人 黎 移 4 的 位 置 有 一 个 特殊 的 值 为 “LfLe”, 这 是 日 志文 件 涉 部 信息 中 最 重 
要 的 特征 之 一 , 它 是 Windows 事件 日 志文 件 所 特有 的 ,可 以 认为 该 *LfLe” 是 事件 日 志文 件 
的 签名 , 它 与 事件 记录 相关 联 , 且 记录 的 大 小 会 同时 出 现在 头 部 结构 的 头 尾 部 分 。 

@ 事件 记录 结构 

每 一 条 完整 的 事件 记录 头 部 大 小 为 56B, 整 个 长 度 为 244B(0xF4), 与 事件 日 志文 件 类 
似 的 ,其 签名 值 (LfLe) 出 现在 事件 记录 的 第 二 个 DWORD 值 中 ,如 图 6. 59 所 示 。 


Toorooozom 0 0 JO 0 00 O00 O00 0 HOF O00 300 O00 一 ET | J 
: SO 00 O00 oo ac 66 4C 65 Dll OO DO 00 B86 AB 6D S53 1 * 
: B66 AB éD 53 73 O00 O00 #40 0 00 oo oo Do Do Do Do ; 


00000050h: bo oo bo bo 58 oo 00 bo bo 00 bo bb S58 00 Do Dob ; 

D00000060h: 00 oo 00 00 58 00 00 00 53 00 52 00 53 00 65 00 ; 。 ，， 品 。。 与 .可 。 急 ， 
D000007T0h: " DO TTé O00 69 O00 63 O00 6& 0 O00 00 = 和 mi UD EV loCeEe .0.1 
D0000080h: 35 O00 # DC Doo 0Oo 00 00 00 00 O00 60 0O0 O00 00 : §S.FE.P.......。 和 


WA OO O00 O00 4 66 G&G 63 Oz O00 O00 O0 B89 AB bp ss3 } Gis: "a mS 


i: B89 AB éD 53 SD 1B O00 CO Do oo O02 oo 00 oo 00 oo ; @ 
: DUO oo Oo bo 74 O00 O00 oo O00 00 O00 bb 7T4 00 O00 O00 » . a . 
O0000050h: bo oo bo O00 9E oo DO 00 53 O00 é5 O00 72 O00 76 O00 8 .7S V, I 


图 6.59 事件 记录 结构 
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事件 记录 的 头 部 56B 的 数据 结构 信息 如 表 6. 27 所 示 。 
表 6.27 事件 记录 头 部 数据 结构 信息 


0 事件 记录 长 度 

4 签名 值 (LfLe) 

8 记录 号 

12 产生 的 时 间 ,使 用 UNIX 时 间 格 式 存 储 

16 写 人 时 间 ,使 用 UNIX 时 间 格 式 存储 

20 事件 编号 ,是 事件 源 中 唯一 的 事件 标识 

“4 时 间 类 型 (0x01= 错 误 ; 0xl0 王 失败 ; 0x08 王 成 功 ; 0x04 一 信息 ; 0x02 二 警告 ) 
26 字符 串 数 量 

28 事件 类 别 

30 保留 的 标识 

32 结尾 记录 编号 

36 字符 串 偏 移 ; 事件 记录 中 描述 字符 串 的 偏 移 

40 用 户 SID 长 度 ; 用 户 SID 的 字 节 大 小 (如 果 是 0 则 表示 没有 ) 
44 记录 中 用 户 SID 的 偏 移 

48 数据 长 度 , 该 记录 相关 的 二 进 制 数 据 的 长 度 

52 数据 的 偏 移 


从 上 表 可 以 看 到 ,记录 本 和 号 的 实际 长 度 在 记录 的 第 一 个 和 最 后 一 个 DWORD 中 ,有 了 
这 些 信息 ,我 们 就 可 以 对 日 志 记 录 进 行内 容 解析 了 。 

(3 事件 日 志 的 搜索 和 恢复 

由 于 事件 日 志 存 在 非常 明显 的 签名 值 (LfLe), 且 事件 记录 有 明确 的 数据 结构 ,我 们 可 
以 利用 该 特征 作为 关键 词 定 位 事件 日 志 的 涉 部 ,对 便 盘 进行 搜索 , 读 取 第 一 个 DWORD 值 
获取 记录 的 长 度 , 骨 根据 长 度 就 可 以 得 到 完整 的 事件 记录 了 。 hd 日 志文 件 
搜索 、 未 分 配 空 间 数 据 恢复 .未知 文件 搜索 等 ,日 即使 部 分 数据 被 覆盖 ,前 56B 的 数据 也 提 
供 了 事件 日 志 的 大 量 重要 信息 。 

但 是 事件 日 恋 是 以 循环 缓存 方式 维护 的 , 当 新 的 事件 记录 被 瀛 加 到 文件 中 , 旧 的 事件 记 
录 会 被 循环 履 盖 。 事 件 日 志 的 文件 大 小 .保留 时 间 等 配置 被 保存 在 以 下 注册 表 键 中 : 
HKEY _ LOCAL MACHINE\SYSTEMN\CurrentControlSet\Services\Eventlog\ (事件 日 志 》 

2. Web 守 格 式 化 日 志 

Windows 系统 中 还 有 一 类 日 志 是 专 为 跟踪 某 项 服务 而 记录 的 ,如 Web 上 日志、Ftp 日 志 、 
Vpn 日 志 等 ,其 所 产生 的 日 志文 件 往往 是 纯 文 本 文件 且 是 格式 化 的 ,对 于 这 类 日 志文 件 的 
提取 和 恢复 方法 可 参考 一 般 文 件 的 处 理 , 其 分 析 方 法 应 集中 在 关联 分 析 和 来 源 分 析 上 。 

前 见 日 志文 件 的 黑 认 存储 位 置 : 

。 Ftp 日 志 上 默认 位 置 . \system32\logfiles\msftpsvcl 
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。 IIS 日 志 默 认 位 置 : \system32\logfiles\w3svcl 

。 win_apahce 日 志 默 认 存 储 位 置 : 由 apahce 配置 文件 httpd. conf 的 Visualpath 值 

确定 。 

Web 日 志 作 为 Web 服务 天 重要 的 组 成 部 分 ,详细 地 记录 了 服务 融和 运行 期 间 客 户 端 对 
Web 应 用 的 访问 请 求 和 服务 硕 的 运行 状态 。 任 何 通 过 http 对 网 站 的 访问 行为 部 会 被 记录 
到 Web 日 志 中 。 因 此 ,这 类 日 志 是 案件 取证 尤其 是 黑客 人 侵 类 案件 现场 取证 的 最 为 重要 的 
日 志 之 一 。 

无 论 是 HIS、Apache, 还 是 其 他 的 Web 服务 ,记录 的 日 志 格 式 大 同 小 异 ,一 般 痢 记录 了 
访问 者 的 IP 地址、 访问 时 间 ,访问 的 页 面 , 访 问 者 的 浏 蜂 疾 指纹 信息 、 访 问 的 方法 、Get 方式 
提交 的 参数 .服务 融 返 回 代 码 等 等 信息 。 本 小 万 以 最 毅 见 的 Windows 系统 中 提供 Web 服 
务 的 HS 为 例 , 来 说 明 此 类 日 志 的 分 析 方 法 。 

(1) IIS 日 志 的 提取 和 恢复 

IIS 日 志 的 默认 存储 位 置 为 \system32\logfilesN\w3svcl, 其 中 工 为 网 站 的 ID 号 ,但 其 话 
细 准 确 的 访问 日 志 格式 及 保存 路 径 应 在 IIS 管理 器 配置 中 获得 ,如 图 6. 60 所 示 。 


赂 站 | 性 能 T 吕 ET 种 竺 王 | 半月 所 I ri | 


描述 (8): EEE 常规 | 高 级 | 
IF 地 址 让 ): [193. 168.2 新 日 志 计 划 | 


ie 个 每 小 时 (H) 
TCP 端口 部 ): 区 i 


连接 一 一 一 一 一 一 一 一 一 一 个 每 周 他 ) 

连接 超时 备 ): | 全 每 月 侧 ) 

[y 保持 HTTF 连接 区) 但 不 限制 站 件 太 小 册 ) 
个 当 立 件 大 小 达到 (&); 


vw 眉 用 日 志 记 录 站) 


品目 — 
2 Ea ME 


活动 日 志 格 式 Qn) 

区 扩展 日 志文 件 格式 厂 芯 件 合 折 和 创建 使 用 当地 时 间 问 ) 
日 志 艾 件 目录 届 ): 
EF: WINDOWSsystem32LoegFiles i 
日 志 嫌 件 名 : WISVC3T332392T7\exyymmdd. ] oe 


图 6.60 利用 IIS 配置 读 取 日 志 相 关 信 息 


根据 这 个 配置 ,可 以 到 相应 的 目录 中 提取 对 应 网 站 的 日 志文 件 , 一 般 情况 下 ,日 志文 件 
是 以 日 期 命名 的 文本 文件 。 以 下 是 一 条 完整 的 IIS 访问 日 志 : 

192.168.1.66 - -[06/Sep/2012:20:55:05 十 0800] "GET /index.html HTTP/1.1" 404 287 "-" 
"Mozilla/5.0 (Windows NT 6.1: rv:15.0) Gecko/20100101 Firefox/15.0" 

其 具体 的 解释 为 : 

192. 168. 1. 66: 表示 客户 问 IP 地 址 ; 

L06/Sep/2012;20;55;05 十 0800]; 访问 时 间 及 服务 器 所 在 时 区 ; 
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GET: 数据 包 提 区 方式 为 GET 方式 ,向 见 的 有 GET 和 POST 两 种 类 型 ; 

/index. html: 客户 疹 访 问 的 URL; 

HTTP/1. 1: 协议 版 本 信息 ; 

404: Web 服务 硕 啊 应 的 状态 码 。404 表示 服务 大 上 无 此 文件 ; 

287: 此 次 访问 传输 的 字 节 数 ; 

Mozilla/5.0 (Windows NT 6. 1; rv:15.0) Gecko/20100101 Firefox/15.0: 客户 闪 浏 
览 关 和 系统 环境 等 信息 。 

由 于 该 日 志文 件 是 纯 文 本 文件 ,所 以 其 提取 和 恢复 可 按照 普通 文件 的 电子 数据 提取 和 
恢复 方法 进行 ,恢复 关键 词 可 依据 上 述 字 段 信 息 展 示 的 内 容 根据 实际 情况 选取 。 

(2) IIS 日 志 的 分 析 

由 于 JIIS 日 志 记 录 了 所 有 通过 http 协议 访问 该 网 站 的 信息 ,所 以 详细 对 该 日 志 进 行 分 
析 ,可 以 大 致 回 渊 访问 痢 在 一 段 时 间 内 对 该 网 站 实施 的 行为 。 

以 黑客 人 侵 案 件 为 例 ,如 何 从 大 量 的 访问 记录 中 找 出 人 侵 者 的 IP 地 址 呢 ? 通过 大 量 的 
分 析 ,我 们 发 现 攻击 者 在 对 网 站 和 人 侵 时 ,加 网 站 发 起 的 请 求 中 会 带 有 特定 的 攻击 特征 ,如 利 
用 WEB 扫 摘 天 在 对 网 站 进行 漏洞 扫 摘 时 往往 会 产生 大 量 的 404 错误 日 志 、 在 检测 web 中 
是 否 和 存在 SQL 注入 漏洞 时 会 产生 大 量 “and 1 二 1” 和 “and 1 二 2” 等 正常 情况 下 不 会 出 现 的 日 

志和 条目 。 我 们 可 以 根据 这 些 特 征 来 对 日 志 进 行 分 析 。 负 用 的 日 志 分 析 工 具有 
oe 弘 连 网 年 日 志 分 析 系 统 、AN8 | 

QD 查找 “and 1 二 ”等 关键 词 ( 空 格 等 特殊 字符 串 需 转化 为 URL 编码 )。 如 末 在 日 志 信 
县 中 发 现 有 这 样 的 数据 ,表明 该 访问 者 在 对 网 站 进行 SQL 注入 扫描 ,如 图 6. 61 所 示 。 


time |s-sitename |sip |cs..|cs-ur-stem |es-ur-quer 
2013-01-04 07:32:37 W35VC373323... 192.168.30.129 GET /showcase.asp |id=8%20and%201=1| 80  - 192.168.30.1 
2013-01-04 07:32:45 W35VC373323... 192.168.30.129 GET /showcase.asp lid=7%20and%201=2| 80  - 192.168.30.1 


6.61 SQL 注入 的 痕迹 


凶 查找 服务 硕 啊 应 代码 为 404 的 记录 。 如 果 发 现 大 量 访 问 404 的 信息 , 且 这 些 记 录 都 

连续 的 , 则 极 有 可 能 是 和 人 侵 者 在 对 该 网 站 进行 目录 探测 扫 摘 等 ,如 图 6. 62 所 示 。 

@) 直接 查找 后 门 脚 本 文件 的 连接 记录 。 如 果 在 网 站 网 页 文件 分 析 中 找到 了 黑客 留 下 
的 后 门 文件 ,或 者 其 他 可 疑 的 文件 , 则 可 直接 在 日 志 中 查找 这 些 文件 的 连接 记录 ,这 是 锁定 
入 侵 者 IP 的 最 直接 的 方式 ,因为 只 有 入 侵 者 才 了 解 这 些 可 疑 文件 的 位 置 和 文件 名 ,以 及 访 
问 密 码 等 信息 ,所 以 成 功 访问 这 些 可 疑 文件 (服务 需 返 回 代 码 为 200) 的 访问 者 就 极 有 可 能 
是 人 侵 者 。 

其 他 Web 日 志 或 格式 化 日 志文 件 的 分 析 方 法 基本 同上 ,但 要 注意 根据 记录 信息 的 不 同 

行 关 联 ,依据 案件 相关 的 线索 建 模 ,最 终 找 出 日 志 记 录 的 规律 。 
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Ti TT 
- - [04/Sep/2012:17:16:29 +0800] "GET /data/backup/global.backup 
] - - [O04/Sep/2012:17:16:29 +0800] “GET /data/badoup/Copy%200f%20global.asa 
- - [04/Sep/2012:17:16:29 +0800] “GET /data/badup/member 
= [04/Sep/2012:17:16:29 +0800] "GET /data/badowup/members 
- - [04/Sep/2012:17:16:29 +0800] “GET /data/badxup/global.asa.bak 
- = [04/Sep/2012:17:16:29 +0800] “GET /data/badwup/orders 
- =- [04/Sep/2012:17:16:29 +0800] “GET /data/badwup/global.asa.old 
[04/Sep/2012:17:16:29 +0800] “GET /data/badwup/global.asa.tmp 
- [04/Sep/2012:17:16:29 +0800] "GET /data/backup/billing 
- [04/Sep/2012:17:16:29 +0800] "GET /data/backup/memberlist 
- - [04/Sep/2012:17:16:29 +0800] "GET /data/backup/dump 
- [04/Sep/2012:17:16:29 +0800] “GET /data/badup/global.asa.temp 
[04/Sep/2012:17:16:29 +0800] “GET /data/bacdxup/ftp 
- [04/Sep/2012:17:16:29 +0800] “GET /data/backup/accounts 
- - [04/Sep/2012:17:16:29 +0800] "GET /data/backup/warez 
- - [04/Sep/2012:17:16:29 +0800] GET /data/backup/global.asa.ong 
- [04/Sep/2012:17:16:29 +0800] "GET /data/backup/web.config.bak 
[04/Sep/2012:17:16:29 +0800] “GET /data/backup/conf 
- [04/Sep/2012:17:16:29 +0800] “GET /data/backup/config 
- - [04/Sep/2012:17:16:29 +0800] "GET /data/backup/Config 
- [04/Sep/2012:17:16:29 +0800] “GET。 /data/backup/phpmyadmin 


图 6.62 目录 探测 的 凑 迹 


6.3 Mac OS 系统 取证 


苹果 计算 机 与 一 般 PC 电脑 的 不 同 之 处 ,主要 表现 在 人 硬件 架构 ,操作 系 统 、 文 件 系 统 和 
应 用 程序 这 四 个 方面 。 苹果 最 为 特别 的 是 Mac OS 操作 系统 ,已 经 形成 了 一 个 有 别 于 
Windows 操作 系统 的 生态 圈 。 由 于 Mac OS 操作 系统 和 程序 数据 格 式 的 不 同 , 使 得 其 取 
证 方法 与 常见 的 Windows 系统 的 取证 方法 有 一 定 区 别 。 本 市 的 教学 目的 是 围绕 侠 果 Mac 
OS 系统 中 获取 证 据 和 分 析 证 据 的 相关 知识 ,详细 阐述 对 Mac OS 取证 分 析 的 方法 和 工具 ， 
以 达到 初步 了 解 Mac OS 系统 取证 的 目的 。 


6.3.1 芋 果 计算 机 和 Mac OS 操作 系统 概述 


苹 来 计算 机 的 取证 ,应 首先 对 苹果 计算 机 有 一 个 整体 、 全 面 的 了 解 , 要 知 所 人 芋 来 计算 机 
和 常用 的 Windows 计算 机 有 哪些 不 同 ? 这 些 不 同 之 处 对 取证 分 析 有 哪些 影响 。 只 有 全 面 
丁 解 侠 来 计 算 机 和 Mac OS 操作 系统 ,才能 采用 正确 的 方法 ,使 用 正确 的 工具 完成 对 侠 来 计 
算 机 的 取证 ,得 到 全 面 地 分 析 结 来 。 

1.。 Mac OS 操作 系统 简介 

苹果 计算 机 中 使 用 的 操作 系统 被 称 为 Mac OS, 是 一 款 专 为 苹果 计算 机 设计 开发 的 专 
用 操作 系统 。Mac OS 不 被 允许 安 浴 或 使 用 在 所 有 非 芋 来 公司 的 计算 机 或 虚拟 机 中 。 每 台 
苹 来 计算 机 在 出 厂 之 初 , 束 已 经 预 置 了 多 语言 的 操作 系统 。 用 户 仅 需 通过 简单 的 设置 , 即 可 
开始 使 用 这 个 强大 的 操作 系统 。 

从 取证 角度 来 说 ,Mac OS X 并 没有 Windows 注册 表 这 样 的 数据 库 来 存储 系统 和 应 用 
程序 的 设置 信息 ,而 是 将 此 类 信息 分 别 储 存在 钥 态 赔 、Property List 属性 列表 文件 和 
SQLite 数据 库 中 ,而 不 同 程序 的 Plist 文件 或 SQLite 数据 库 文件 中 往往 包含 有 嫌疑 人 的 天 
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键 证 据 数 据 ,需要 重点 关注 。Mac OS 操作 系统 在 文件 的 查看 和 管理 上 也 与 Windows 有 较 
大 的 不 同 , 在 Windows 中 用 户 往往 是 在 "我 的 电脑 ”中 的 不 同 分 区 下 查看 文件 ,应 用 程序 一 
般 默 认 保存 在 "Program Files” 下 ,存档 文件 则 要 去 “我 的 文档 ”和 其 他 不 同位 置 去 查看 。 而 
Mac OS 操作 系统 中 , 则 预定 义 了 一 些 目 录 , 并 将 各 类 文件 进行 归 类 存储 。 这 些 位 置 都 包含 
有 重点 关注 的 各 类 数据 ,如 表 6. 28 所 示 。 


表 6.28 用 亡 数 据 存储 位 置 


名 称 存储 位 置 
文稿 /Users/ 用 户 名 /Documents 
时 面 /Users/ 用 户 名 /Desktop 
应 用 程序 /Applications 
下 载 和 传送 的 数据 /Users/ 用 户 名 /Downloads 
视频 /Users/ 用 户 和 名 /Movies 
音乐 /Users/ 用 户 名 /Music 
片 /Users/ 用 户 名 /Pictures 
邮件 /Users/ 用 户 名 /Library/ Mail 
站 点 (如 网 站 开发 数据 》 /Users/ 用 户 名 /Sites 
废 纸 委 ( 隐 含 ) /Users/ 用 户 名 /. Trash 
公共 /Users/ 用 户 名 /Public 
用 户 资 源 库 ( 隐 会 ) /Users/ 用 户 名 /Library( 通 第 10 一 20GB, 包 含 大 量 有 价值 的 数据 ) 
共享 /Users/Shared 
系统 资源 库 /Library 


2. Mac OS 应 用 程序 

苹果 计算 机 中 所 有 的 应 用 程序 部 是 Mac OS 系统 专用 的 ,这 些 程序 只 能 在 Mac OS 系 
统 中 运行 。 几 年 前 ,制约 人 苹果 计算 机 难以 普及 使 用 的 最 大 问题 就 是 应 用 程序 缺乏 ,而 且 多 数 
必须 付费 购买 使 用 。 但 是 从 Mac OS X 开始 ,苹果 机 上 开始 预 置 了 很 多 的 应 用 程序 ,中 国 用 
户 经 党 使 用 的 如 QQ、 微 信 、 阿 里 旺旺 等 即时 通信 工具 都 有 了 Mac OS 版 本 ,甚至 微软 公司 
也 推出 了 Mac OS 操作 系统 专用 的 Microsoft Office。 现 在 能 够 运行 在 Mac OS X 操作 系统 
下 的 应 用 程序 已 经 非常 多 了 ,各 种 功能 的 应 用 程序 可 以 轻易 地 找到 ,如 图 6. 63 所 示 。 但 也 
正 因 为 如 此 ,对 取证 来 说 ,Mac OS 系统 中 下 的 数据 类 型 也 越 来 越 复 杂 ,需要 取证 的 内 容 也 

由 于 苹果 计算 机 Mac OS 系统 的 封闭 性 、 应 用 程序 和 相关 文件 的 特殊 性 ,造成 Windows 
系统 下 的 Encase、X-Ways Forensics 等 取证 分 析 软 件 无 法 全 面 、 彻 奔 地 解析 HFS 系统 和 应 
用 程 厅 包 ,以 及 文件 的 资源 又 。 因 此 对 苹果 计算 机 的 取证 ,应 当 使 用 苹果 机 、Mac OS 系统 
和 专用 Mac OS 取证 分 析 软 件 才 能 够 达到 最 佳 的 分 析 效 果 。 
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图 6.63 各 种 常用 应 用 程序 


Blackbag 公司 的 BlackLight 和 MacForensicsLab 公司 的 
MacForensicsLab。 例 如 使 用 Recon 对 平 果 计算 机 的 取证 能 够 缩短 至 几 十 
分 钟 , 甚 至 不 了 解 Mac OS 操作 系统 的 人 也 能 通过 Recon 进行 日 动 化 的 取 
工具 使 用 证 ,获取 重要 证 据 数据 。 


6.3.2 Mac OS 动态 取证 


Mac OS 动态 取证 是 针对 开机 状态 的 Mac OS 系统 进行 取证 。 其 取证 的 注意 事项 和 方 
法 与 Windows 的 取证 方法 截然 不 同 。 


当 案 件 现场 发 现 一 台 苹 末 计 算 机 时 , 苹 来 计算 机 正在 运行 中 ,取证 人 
员 可 以 直接 操作 该 计算 机 ; 或 该 计算 机 处 于 休眠 中 , 掀 开 显示 融 即 返回 运 
行 状 态 。 我 们 将 此 两 种 情况 视 为 运行 状态 。 


场景 应 用 


四 https://www. blackbagtech. com/ 


加 http://www. macforensicslab. com/ 
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开机 状态 下 的 取证 方法 和 注意 事项 与 关 机 状态 下 不 同 , 获 取 后 的 数据 也 有 些许 差异 。 
因此 在 操作 之 前 要 充分 考 庶 各 种 可 能 的 发 生 情 况 以 及 应 对 方法 。 当 案件 现场 发 现 苹 此 计算 
机 如 宁 正 处 于 开机 状 父 下 ,取证 人 员 需 要 考虑 到 以 下 五 个 方面 的 问题 。 
当前 账户 登录 状态 ,是否 需 要 输入 密码 ? 
。 是 否 有 可 能 启用 了 FileVault 全 盘 加 密 ? 
是 否 正在 连接 局 域 网 或 互联 网 ? 

。 竹 谍 有 来 用 何 种 方法 固定 证 据 ? 

*。 选用 何 种 工具 固定 证 据 ? 

*。 固定 哪些 证 据 ? 

1. 当前 用 户 登录 状态 

Mac OS 系统 在 每 次 用 户 登 录 、 退 出 休眠、 退出 屏 妖 保护 、 进 行 某 些 超越 权限 操作 的 时 
候 ,都 会 要 求 用 户 输入 密码 。 当 出 现 输入 密码 的 窗口 时 ,没有 正确 的 密码 ,任何 人 都 无 法 继 
续 使 用 该 计算 机 。 如 果 当 前 的 苹果 机 没有 要 求 输入 密码 ,我 们 绝 不 能 够 认为 这 台 侠 果 机 没 
有 设置 密码 ,而 是 应 该 庆 溺 当前 恰好 是 一 个 最 佳 的 取证 时 机 ,要 立刻 使 用 有 效 的 工具 尽 可 能 
获取 到 尽 可 能 多 的 数据 。 因 为 当前 计算 机 随时 避 可 能 因为 时 间 设 置 而 退出 当前 状态 ,进入 
休眠 状态 或 屏保 状态 ,要 求 重 新 输入 登录 密码 。 

2. 充分 考虑 到 FileVault 加 密 问 题 

Mac OS 系统 和 内置 有 FileVault 加 密 。 如 果 当 前 用 户 局 用 了 FileVault 加 密 ,那么 很 有 
可 能 当前 苹果 机 硬盘、 连接 的 USB 硬盘 都 有 可 能 被 加 密 。 如 果 没 有 在 解密 状态 下 获取 尽 可 
能 多 的 数据 ,那么 一 旦 关机 ,没有 口令 则 无 法 表 次 打开 加 密 的 计算 机 。 因 此 ,在 苹果 计算 机 
运行 状态 下 是 可 以 成 功 获取 加 蜜 数据 的 唯一 机 会 。 

3. 注意 当前 系统 ,程序 和 网 络 状 态 

付 果 用 户 通 和 常 会 使 用 Apple ID 连接 iCloud iTunes, 或 者 运行 TeamViewer 等 具有 网 


防止 远程 用 户 破 坏 当 前 系统 证 据 ,首先 要 断 开 所 有 的 网 络 连接 。 当 前 网 络 的 连接 状态 、 各 种 
程序 的 运行 状态 可 以 在 Finder 菜单 栏 右 侧 显示 出 来 。 参考 图 6. 64 可 以 了 解 , 当 前 计算 机 
连接 至 Wi-Fi 无 线 网 络 ,正在 运行 着 QQ 软件 。 


图 6.64 查看 菜单 栏 图 标 


取证 人 员 还 需要 清楚 地 认识 到 ,并 不 是 所 有 的 应 用 程序 都 会 显示 在 菜单 栏 顶端 。 用 户 
完全 可 以 根据 自己 的 喜好 ,选择 是 否 将 程序 图 标 或 状态 显示 在 菜单 栏 中 。 从 图 6. 64 中 可 以 
看 到 ,如 果 用 户 选择 了 禁用 “在 菜单 栏 中 显示 WiFi 状态 ”, 那 么 菜单 栏 中 是 不 会 出 现 联网 状 
态 的 。 必 须要 手工 进入 “系统 和 偏好 设置 ", 选 择 “ 网 络 ”, 查 看 当前 的 网 络 连接 状态 ， 
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根据 当前 计算 机 正 处 于 的 状态 ,取证 人 员 需 要 决定 采用 何 种 最 佳 的 证 据 固定 方法 。 根 
据 不 同 取证 工具 功能 ,可 以 选用 在 线 文 件 复制 .在 线 便 盘 镜像 和 在 线 数据 提取 三 种 方法 。 

在 线 文件 复制 ,是 在 当前 羊 东 计算 机 可 以 操作 的 前 所 下 ,利用 专用 工具 对 各 种 用 户 数据 
和 程序 数据 进行 安全 固定 的 方法 。 利 用 此 方法 提取 的 所 有 文件 ,部 应 有 取证 工具 生成 的 哈 
希 校 验 值 作为 证 据 固 定 的 依据 。 

在 线 便 盘 镜像 ,是 在 当前 羊 朱 计算 机 可 以 操作 的 前 担 下 ,利用 工具 对 整个 郑 、 加 密使 盘 
进行 位 对 位 证 据 固定 的 方法 。 利 用 此 方法 生成 的 证 据 文 件 , 虱 应 有 取证 工具 生成 的 蛤 希 校 
验 值 作为 证 据 固定 的 依据 。 


在 线 对 Mac OS 硬盘 进行 镜像 可 以 使 用 系统 自 带 的 “磁盘 工具 ”， 


工具 使 用 


系统 下 的 专业 内 存 取 证 工具 如 SmartMFT、MoonSoles 等 获取 完整 的 内 存 
镜像 。 在 Mac OS 系统 中 ,可 以 使 用 免费 工具 如 OSXPMem， 


工具 使 用 


动态 信息 获取 ,可 以 利用 “Recon for Mac OS X” 软 件 , 能 够 尽 可 能 多 
地 获取 Mac OS 系统 中 的 匈 消 失 数 据 , 且 可 以 确保 获取 数据 的 完整 性 。 除 
了 可 以 提取 Skype、Firefox、VirtualBox 等 国外 应 用 程序 的 易 失 数据 ， 
“Recon for Mac OS X” 中 文 版 还 可 以 提取 如 飞信 ,阿里 旺旺 ,QQ 浏览 希 等 
工具 使 用 ”国内 应 用 程序 的 历史 记录 。 


开机 状态 下 的 苹果 计算 机 取证 能 够 获取 到 多 失 数 据 是 其 一 个 优点 ,但 是 从 男 一 面 来 看 ， 
在 开机 状态 下 更 需要 取证 人 员 有 着 丰 宣 的 经 验 才 能 避 饮 改变 Mac OS 系统 中 的 关键 数据 ， 


DD http://www. rekall-forensic. comy downloads. html 
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而 且 更 要 牢记 Mac OS 和 Windows 系统 有 很 多 的 不 同 , 因 此 不 能 照搬 Windows 取证 的 方 
法 和 技术 。 


6.3.3 Mac OS 静态 取证 


Mac OS 静态 取证 是 对 于 关机 状态 下 的 Mac OS 系统 取证 ,无 论 对 苹果 计算 机 还 是 
Windows 计算 机 来 说 ,操作 方法 和 注意 事项 基本 相同 ， 
这 里 不 再 多 歼 述 ,重点 阐述 不 同 之 处 和 需要 特殊 注意 
的 问题 。 

1. 硬盘 镜像 

如 果 是 用 光盘 启动 , 按 下 电源 键 后 立刻 按 住 C 键 ， 
直至 听 到 读 取 光盘 的 声音 。 如 果 用 USB 局 动 盘 启动 ， 
按 下 电源 键 后 按 住 option 键 ,直至 进入 选择 启动 画面 ， 6.65 按 住 option 键 进入 启动 
选择 所 需 的 启动 硬盘。 如 果 和 希望 进入 目标 便 盘 模式 ， 盘 选 择 界面 
按 下 电源 键 后 立刻 按 住 工 键 , 如 图 6. 65 所 示 。 


镜像 使 用 ”Paladin 局 动 盘 ? 制 作 。 


工具 使 用 


2. 解析 浏览 右 历 史记 录 

Mac OS 系统 下 被 经 第 使 用 的 网 页 浏览 疾 有 Safari、Firefox、Google Chrome、QQ 浏览 
器 等 。 这 些 浏览 器 多 数 采用 SQLite 数据 库 格式 保存 浏览 器 历史 记录 。“QQ 浏览 器 for 
Mac” 历 史记 录 就 是 通过 SQLite 数据 库 来 保存 浏览 带 历 史记 录 , 记 录 文 件 文件 名 为 
History, 保 存 于 /Users/ 用 户 名 /Library/ Application Support/QQBrowser2/Default 目录 
下 ,如 表 6. 29 所 示 。 


表 6.29 数据 库 History 表 结 构 


表单 名 称 描 述 
下 载 (downloads) 下 载 数据 的 网 址 ,本 地 保存 路 径 、 开 始 和 结束 时 间 .大 小 
网 址 Curls) 访问 过 的 网 址 .标题 .次 数 和 时 间 
访问 时 间 (visits) 网 址 的 访问 时 间 
搜索 词语 (keyword) 链接 的 ID ,搜索 的 词汇 


网 址 域名 (segments) 访问 网 址 的 主 域 名 
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SQLite? 是 一 款 轻型 的 数据 库 ,是 D. RichardHipp 用 C 语言 编写 的 一 个 开源 岩 入 式 数 
据 库 引 擎 ,天 守 ACID 的 关系 型 数据 库 的 管理 系统 。SQLite 占用 资源 非常 低 ,在 艇 入 式 设 
备 中 ,只 需要 几 目 KB 的 内 存 就 够 了。 这 种 轻型 的 SQLite 数据 库 可 以 文 持 高 达 2TB 大 小 
的 数据 库 ,每 个 效 据 库 都 可 以 单个 文件 的 形式 存在 ,以 B-Tree 的 数据 结构 形式 存储 在 使 盘 
上 。SQLite 数据 库 支 持 Windows、Linux、UNIX 等 主流 的 操作 系统 ,特别 在 Mac OS 1OS 
和 Android 系统 中 得 到 非 冰 广泛 的 应 用 。 

对 于 浏 贤 问 历史 记录 ,取证 人 员 可 以 使 用 一 些 人 免费 的 第 三 方 工 具 查 看 SQLite 数据 库 中 
的 历史 记录 。 


分 


工具 使 用 


使 用 “SQLite Database Browser”2.0 Bl 可 以 快速 解析 QQ 浏览 基数 
据 库 文件 History。 


Safari 浏览 瘟 的 历史 记录 没有 采用 数据 库 的 方式 保存 历史 记录 ,而 是 采用 了 Plist 文件 
格式 。Safari 是 苹果 计算 机 Mac OS X 操作 系统 中 默认 浏览 需 , 使 用 了 KDE 的 KHTML 作 
为 浏览 硕 的 计算 核心 。 

Safari 版 本 7.0.4 历史 记录 的 保存 位 置 : /Users/ 用 户 名 /Library/Safari。 历 史记 录 文 
件 名 称 为 History. plist ,结构 如 表 6. 30 所 示 。 


表 6. 30 History. plist 属性 列表 文件 结构 


名 称 描 述 
主 域名 (WebHistoryDomains. v2) 访问 网 址 的 主 域名 
网 址 (WebHistoryDates) 访问 过 的 网 址 ,标题 .次数 和 时 间 
标题 (title) 网 址 的 标题 
访问 日 期 (lastVisitedDate) 最 后 一 次 的 访问 日 期 
访问 次 数 (visitCount) 访问 次 数 统计 


分 


工具 使 用 


使 用 “Xcode”4.6 (4H127) 解 析 plist 文件 。 


DD http://www. sqlite. org/fileformat. html 
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其 他 在 Mac OS 系统 中 需要 关注 的 重要 数据 的 保存 位 置 , 如 表 6. 31 所 示 。 
表 6.31 一 些 重要 数据 保存 位 置 


名 称 位 置 文 件 名 
最 近 访 问 的 文件 /Users/ 用 户 名 /Library/Preferences com. apple. recentitems. plist 
、 /Users/ 用 户 名 /Library/ Application Support/ 

通讯 录 ea ee 0 
AddressBook/Sources / ‘string’»/ Metadata 

和 /Users/ 用 户 和 名 /Librarvy/Application Support/ 

通讯 录 照片 | / ny | x.jpeg 
AddressBook/ Sources /‘string’»/ Images 

系统 版 本 /System/ Library/ CoreServices SystemWersion. plist 

最 后 登录 用 户 名 /Users/ 用 户 和 名 /Library/ Preferences com. apple. loginwindow. plist 


com. apple. Preview. 


最 后 预览 过 的 文人 Users/ 用 户 名 /Lib Preferences 
fF A 站 LSSharedFileList. plist 


Dock 显示 内 容 /Users/ 用 户 名 /Library/Preferences com. apple. dock. plist 
开机 局 动 的 程序 /Users/ 用 户 名 /Library/Preferences com. apple. loginitems. plist 
/Users/ 用 户 名 /Lib WechatPrivate/1. 
微 信 登录 IP 和 时 间 ee Pp 9 关 . getdns2 
1/host 
/Users/ 用 户 名 /Library/ Containers/ com. tencent. 
QQ 账号 和 传送 文件 Q 账户 4 
qqg/ Data/ Library/ Application Support/ QQ 名 
邮件 /Users/ 用 户 名 /Library/Mail/V2 x .emlx 
LinkedIn 账号 /Users/ 用 户 /Library/ LinkedIn LPARegistrationData. plist 
z /Users/ 用 户 名 /Library/ Application Support/ 
Skeype 聊天 记录 sers i 名 /Library/Application Suppor 
Skype/ 账号 
/Users/ 用 户 名 / Library/ Containers/ com. 
阿里 旺旺 账号 taobao. aliwangwang/Data/Library/ Application | 账户 名 


Support/ AliWangwang/ v3/ profiles 


0.3.4 小 结 


针对 苹果 计算 机 的 取证 ,分 析 过 程 中 ,可 以 充分 借助 Spotlight 和 预览 程序 ,对 关注 的 
内 容 进 行 搜索 、 过 滤 和 查看 。 同 时 ,应 尽 可 能 获取 正在 运行 中 的 苹果 计算 机 内 存 镜 像 ,以 
便 为 后 期 解密 、 分 析 提 供 重要 帮助 。 考 虑 到 工作 效率 和 数据 分 析 的 准确 性 ,实际 案件 中 
取证 人 员 也 应 借助 一 些 智能 化 分 析 工 具 加 速 分 析 速 度 , 节 省 案件 分 析 时 间 , 提 升 分 析 的 准 
确 率 。 
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6.4 UNIX/Linux 取证 分 析 


6.4.1 UNIX/Linux 操作 系统 简介 


Linuxd 操作 系统 是 UNIX% 系统 家 族 中 的 一 个 优秀 分 支 。 自 Linus Torvalds 于 1991 
年 10 月 发 布 第 一 个 版 本 以 来 ,Linux 在 租 入 式 设备 、 超 级 电脑 和 服务 旨 领 域 确 立 了 其 领先 
地 位 。 在 智能 手机 市 场 占据 第 一 的 Android 系统 是 Linux 系统 的 一 个 深度 定制 版 本 ,而 超 
级 电脑 中 的 90% 以 上 运行 类 Linux 系统 。 

UNIX/Linux 处 于 活跃 状态 的 发 行 版 数量 有 效 折 个 ,每 天 还 可 能 出 现 新 的 定制 或 者 前 
裁 版 本 。 由 于 发 行 版 数量 的 巨大 ,要 概括 介绍 所 有 版 本 是 不 现实 的 ,但 是 UNIX/Linux 系 
统 的 一 个 好 处 在 于 所 有 发 行 版 都 会 遵循 UNIX/Linux 的 一 些 基本 设计 思想 由 。 本 节 称 做 
UNIX/Linux 取证 ,内 容 上 以 Linux 取证 为 主 、 羔 顾 UNIX 的 方式 展开 。 一 方面 突出 UNIX 
系统 在 架构 \ 应 用 、 思 维和 使 用 习惯 上 通用 性 ; 为 一 方面 也 是 因为 Linux 系统 在 UNIX 家 族 
中 的 突出 地 位 。 

本 从 UNIX/Linux 系统 基础 开始 ,帮助 取证 人 员 找 到 UNIX/Linux 系统 下 取证 分 析 
工作 的 切入 点 ,和 擎 握 UNIX/Linux 系统 中 常见 目录 结构 、 关 键 文 件 的 位 置 及 系统 日 志 配 置 
和 存储 等 方面 的 内 容 。 


6.4.2 Linux 发 行 版 本 


Linux 目前 流行 的 发 布 版 本 有 Debian、Ubuntu、Fedora、RedHat Enterprise Linux、 
CentOS 及 OpenSUSE 等 系统 。 

国产 Linux 操作 系统 ,多 数 以 Linux 为 基础 进行 二 次 开发 。 国 产 Linux 目前 常见 的 版 
本 有 : 深度 (Deepin) .红旗 Linux. 银 河 腊 膀 .中 标 脐 腾 Linux( 原 中 标 普 华 Linux) ,起 点 操作 
系统 StartOS., 奖 思 村 石 安全 操作 系统 、 共 创 Linux 果 面 操作 系统 等 。 


0.4.3 Linux 文件 系统 


1. Linux 文件 系统 简介 
文件 系统 是 操作 系统 最 为 重要 的 一 部 分 , 它 定 义 了 硬盘 上 储存 文件 的 方法 和 数据 结构 。 


维基 百科 Linux 词 条 ,http://zh. wikipedia. org/wiki/Linux 

维基 百科 UNIX 词 条 ,http://zh. wikipedia. org/ wiki UNIX 

Linux 发 行 版 公告 网 站 ,http://distrowatch. com/ 

《Linux/UNIX 设计 思想 》,2012 年 ,人 民 邮 电 出 版 社 (http;//book. douban. com/subject/7564417/) 
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UNIX 的 发 行 版 中 常用 的 文件 系统 是 UFS 系列 9, 但 是 每 个 厂商 对 其 进行 了 一 些 私有 的 扩 
展 , 有 不 菲 容 的 情况 存在 。Linux 文件 系统 其 核心 思想 也 是 来 日 于 UFS。Linux 和 营 用 的 原 
生 文 件 系 统 主要 有 Ext2、Ext3、Ext4、btrfs 及 ReiserFS 等 ,btrfs 可 能 未 步 成 为 未 来 主流 的 
Linux 文件 系统 。 此 外 ,Linux 也 兼容 支持 Windows 系统 的 FAT 及 NTFS。 

文件 系统 都 有 内 部 的 文件 存 取 管理 机 制 。NTFS 文件 系统 使 用 $ MFT 和 $ Bitmap 两 
个 核心 的 内 部 文件 (也 称 为 元 文件 ) 来 管理 文件 ,然而 Linux 操作 系统 的 Ext 文件 系统 则 用 
inode 和 SuperBlock 来 管理 文件 。 

(1) Superblock: 记录 此 文件 系统 的 整体 信息 ,包括 inode/block 的 总 量 .使 用 量 .剩余 
量 , 以 及 文件 系统 的 格式 与 相关 信息 等 ; 

(2) inode: 记录 文件 的 属性 ,一 个 文件 占用 一 个 inode, 同 时 记录 此 文件 的 数据 所 在 的 
block 号 人 三 ; 

(3) Block: 实际 记录 文件 的 内 容 , 奉 文件 太 大 时 ,会 占用 多 个 block。 

Linux 常用 的 文件 系统 是 Ext3 、Ext4 和 btrfs 文件 系统 。 

2. Linux 系统 文件 结构 

系统 文件 结构 指 的 是 操作 系统 和 应 用 如 何 组 织 和 使 用 目录 和 文件 的 体系 (如 图 6. 66 所 
示 ) ,自从 UNIX 系统 被 发 明 以 来 ,其 文件 组 织 和 使 用 结构 就 基本 没有 变化 过 。 


6.66 ”UNIX/Linux 系统 典型 目录 结构 


UNIX/Linux 采用 约定 俗 成 的 方式 使 用 这 些 知 名 的 目录 ,如 表 6. 32 所 示 , 在 不 同 的 发 
行 版 和 系统 中 它们 都 具有 类 似 的 功能 和 权限 设置 ,这 里 给 出 简单 的 说 明 ，。 


中 Wiki 百科 词 条 “UNIX 文件 系统 ”,http://en. wikipedia. org/wiki/UNIX File System 
回 ”详细 内 容 可 参见 (Linux 系统 架构 与 目录 解析 3》,http;//book. douban, com/subject/3592797/ 
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表 6.32 UNIX 一 级 目录 说 明 


目录 名 称 文件 /功能 /说 了 明 

/bin 供 所 有 用 户 使 用 的 基本 命令 ,cp、ls 等 保存 在 该 目录 中 

/boot 系统 引导 核心 和 配置 文件 等 

/etc 系统 和 应 用 程序 的 配置 文件 ,例如 : /etc/passwd 保存 的 是 用 户 信息 

/dev 包含 所 有 的 系统 设备 文件 

/home 普通 用 户 的 个 人 文件 ,每 个 用 户 有 一 个 目录 ,用 户 在 自己 的 目录 里 具有 完整 的 权限 
/lib 存放 着 系统 最 基本 的 共享 链接 库 和 内 核 模块 

/mnt 用 于 挂 载 文件 系统 的 地 方 

/root 系统 超级 用 户 的 主 目 录 

/sbin 供 超级 用 户 使 用 的 命令 ,多 是 系统 管理 命令 ,如 fsck、reboot 等 

/tmp 保存 临时 文件 ,所 有 用 户 可 以 在 这 里 创建 ,编辑 文件 ,但 只 有 文件 拥有 者 才能 删除 文件 
/ usr 静态 的 用 户 级 应 用 程序 

/var 动态 的 程序 数据 ,目录 中 包括 了 一 些 数 据 文件 ,如 系统 日 志 等 


/proc 存在 于 内 存 中 的 虚拟 文件 系统 ,开机 情况 下 才 有 ,里 面 保存 了 内 核 和 进程 的 状态 信息 等 


6.4.4 Linux 取证 实战 


1. Linux 硬盘 数据 获取 

在 开机 取证 的 情况 下 ,有 时 需要 获取 整个 硬盘 或 分 区 的 镜像 以 支持 后 续 的 详细 数据 分 
析 工 作 ,毕竟 在 开机 情况 下 无 法 对 删除 的 数据 进行 恢复 ,而 且 会 有 破坏 已 有 数据 的 风险 。 此 
时 ,可 以 使 用 专业 的 取证 工具 ,也 可 以 使 用 UNIX/Linux 系统 内 置 的 “dd 命令 “dd” 命 令 的 参 
数 和 用 途 非 常 多 ,这 里 列 出 一 些 和 取证 有 关 的 选项 和 用 法 ,详细 用 途 可 见 相 应 的 命令 手册 。 

DD 命令 可 以 精确 地 制作 整个 物理 硬盘 数据 的 镜像 。 因 此 ,DD 生成 的 镜像 格式 成 为 电 
子 数 据 取 证 领域 众所周知 的 一 种 便 盘 镜像 格式 , 营 称 为 原 娘 数据 镜像 (Raw Image) 或 DD 

第 见 的 dd 应 用 范例 ,如 表 6. 33 所 示 。 


表 6.33 dd 命令 选项 功能 描述 


dd 选项 选项 功能 描述 
if 一 《文件 名 》 输入 文件 名 ,默认 为 标准 输 人 人。 如 果 要 的 是 便 盘 设备 , 则 可 能 是 /dev/sda 
输出 文件 名 ,默认 为 标准 输出 。 如 果 输 出 到 一 个 硬盘 设备 , 则 可 能 是 / 
of 二 《文件 和 名》 dev /sdb 
EV Sd 


一 次 谈 和 人 /输出 字 闻 数 , 即 指定 一 个 块 大 小 为 bytes 个 字 帮 。 对 大 容量 设备 

来 说 ,一 次 读 取 数据 块 为 8192 字 节 时 ,具有 更 好 的 性 能 

sync: 将 每 个 输入 块 填 充 到 输出 中 ,不 足 部 分 使 用 空 (NUL) 字 符 填充 。 
conv= sync, noerror noerror: 出 错时 不 停止 。 这 两 个 参数 部 是 为 了 保证 在 读 取 出 错时 ,输出 设 

备 的 数据 能 够 和 输入 对 齐 


bs 一 bytes 
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(1) 将 物理 硬盘 sda 中 的 所 有 数据 镜像 为 mybigfile. imsg 文件 

命令 行 : dd ii=/dev/sda of 一 mybigfile. img bs 一 65536 conv 一 noerror ,Sync 

(2) 将 硬盘 sda 的 分 区 2 中 的 所 有 效 据 复 制 到 便 盘 sdb 的 分 区 2 

命令 行 : dd if==/dev/sda2 of==/dev/sdb2 bs 一 4096 conv= noerror 

(3) 将 硬盘 sdb 中 的 分 区 2 的 所 有 数据 镜像 为 partition. img 

命令 行 ; dd if= /dev/sdb2 of 二 partition. img bs 一 4096 conv 一 noerTror 

2. Linux 物理 内 存 获 取 

Linux 系统 早期 可 以 通过 /dev/mem 访问 物理 内 存 , 然 而 在 较 新 的 Linux 系统 中 ,通过 
访问 /dev/mem 实际 上 无 法 完全 获取 物理 内 存 的 数据 。 在 RedHat Linux 系统 中 ,可 以 通过 
用 modprobe crash 来 访问 /dev/crash( 相 当 于 整个 物理 内 存 ), 即 可 用 dd 命令 来 直接 获取 物 
理 内 存 。 


工具 使 用 


目前 比较 常见 的 Linux 系统 环境 下 物理 内 存 获 取 比 较 实用 的 工具 是 
LiME(Linux Memory Extractor) K& F-Response, 


LiME 是 一 个 基于 可 加 载 的 内 核 模块 (LKM) ,支持 对 Linux 及 基于 Linux 设备 (如 
Android) 系 统 的 内 存 获 取 。 该 工具 文 持 将 内 存 镜像 并 保存 全 本 地 存储 介质 或 通过 网 络 传 
输 至 特定 位 置 。LiME 可 通过 https://github. com/504ensicslabs/lime 下 载 源 代 人 码 , 通 常 建 
议 在 相同 的 Linux 版 本 下 对 源 代码 进行 编 详 , 然 后 将 编译 后 的 程序 复制 到 移动 便 盘 或 优盘 
中 ,在 目标 计算 机 上 通过 命令 行 加 载 模 块 ,从 而 完成 对 物理 内 存 的 获取 。 


root(@ linux:/media/ pendrive# insmod /media/ pendrive/ lime-3.7-trunk-amd64. ko 


"path= /media/ External_drive/ physical_memory_dump. bin format= lime" 


3. LVM 逻辑 卷 管理 此 

在 国内 茶 些 特定 类 型 的 案件 (如 电信 诈骗 案 ) 中 , 较 多 巡 到 涉案 的 服务 采用 的 是 
RedHat Enterprise Linux 或 CentOS 操作 系统 ,往往 这 些 系 统 在 安装 时 默认 采用 LVM2 进 
行伍 盘 管 理 。 

LVM 逻辑 卷 管 理 南 (Logical Volume Manager,LVM) ,是 Linux 核心 所 提供 的 逻辑 卷 
管理 (Logical volume management) 功 能 。 它 在 便 盘 的 便 盘 分 区 之 上 ,又 创建 一 个 逻辑 层 ， 
以 方便 系统 管理 便 盘 分 区 系统 。 目 前 常见 的 版 本 有 LVM 和 LVM2,LVM 在 第 见 的 Linux 
服务 器 版 本 应 用 较 多 ,此 外 也 支持 HP-UX, IBM AIX，Solaris，OS/2 系统 下 使 用 。LVM2 
已 经 广泛 在 RedHat Enterprise Linux 系统 上 。LVM 的 人 逻辑 结构 如 图 6. 67 所 示 。 
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第 6 草 


LV 


logical volume 


LV /dev/VG/LV 


logical volume 


Volume Group 


pV 


physical volume physical volume 加 physical volume 


/!devisda :devisdb /devi... 


图 6.67 LVM 逻辑 卷 管理 机 制 


在 电子 数据 取证 过 程 中 ,很 多 调查 人 员 往 往 因 为 缺乏 对 LVM 的 了 解 ,在 使 用 计算 机 取 
证 分 析 软 件 时 ,未 进行 正确 的 LVM 设置 导致 无 法 正常 识别 Linux 的 文件 系统 ,影响 案件 的 
正常 开展 。 目 前 国内 外 文 持 Linux LVM/LVM2 逻辑 卷 月 动 识 别 及 解析 的 取证 软件 有 


EnCase( 如 图 6. 68 和 图 6. 69 所 示 ) .ETK 和 取证 大 师 。 


2 EnCase 法 律 执 行 
立 件 编辑 视图 工具 帮助 
汪汪 新 建 | [ 池 打 开 园 保存 起 打印 ~ 条 加 设备 以 搜索 国 有 太 沸 获取 


x||:| 国 询 | 国 报 告 加 图 库 六 时 间 易 问 总 盘 Es 


辐 回 加 


Forensic 


Include 


- 国 LILUL LELI 回国 加 LPN -i LEA 回国 加 回国 轩 LL) B . 力 LL 回国 加 pd : z | 
图 案例 1T2\Ct 未 分 配 航 (PS 208845 LS0 CLDO S0000 FOOD LE1) 


6.68 Linux LVM 逻辑 卷 无 法 正常 识别 (未 做 正确 设置 ) 
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这 EnCase 法 律 执行 

立 件 编辑 视图 工具 性 助 

因 间 证 中 打开 加 如 存 地 打印 “ee 活 加 识 各 以 ,搜索 国 提 新 光 关闭 印 蓝 取 
:| 园 列 | 司 报告 国 图 库 “人 时 间 线 网 蔽 盘 “ 管 代码 


医 x 可 名 双 扫 来 人 | 在 和 和 中 
a bin 
医 测 om 文人 区 8 :4 匡 
昌 D 回 笃 和 1a GS dev 
“ 岛 stc 
由 DDO boot E 
De Logvol00 
[lip Loygvol01 


岛 lost+found 
I media 
misc 
口 调包 mt 


EE 


i 

24855. 7 

midemp 2 Include 
‘bash | iain 

Se ee Se | Wa Source Processor 


家 Tuogvanobr [PS 100204544 LS 100204544 CL 12525568 SO 000 Fon0D LE 


图 6.69 EnCase 通过 Scan LVM 自动 识别 出 LVM 逻辑 卷 


4. Linux 开机 取证 

涉案 的 UNIX/Linux 系统 以 服务 器 为 主 ,经 常 处 于 远程 或 不 能 关机 的 状态 ,所 以 经 营 
tttdltanbid den lion 具 集 ,在 
开机 取证 的 过 程 中 如 果 可 以 有 效 地 使 用 这 些 命令 行 工 具 , 对 于 取证 工作 的 进 往往 具有 于 
半 荔 倍 的 效果 。 

shell 是 一 种 命令 解释 页 , 它 提供 了 用 户 和 操作 系统 之 间 的 交互 接口 。shell 可 以 执行 
Linux 的 系统 内 部 命令 ,也 可 以 执行 应 用 程序 。 熟 练 的 调查 人 员 还 可 以 利用 shell 编程 , 执 
行 复杂 的 现场 取证 工作 。 

表 6. 34 列 出 了 一 些 开 机 取证 时 可 能 会 用 到 的 命令 Se 
限 。 另 外 ,这 些 命 令 主 要 适用 于 Linux 环境 ,UNIX 环境 下 的 命令 会 有 所 不 同 。 

(1) 系统 进程 

ps 是 Linux 系统 中 查看 系统 进程 的 常用 工具 。 一 旦 发 现 Linux 系统 有 异 和 (例如 有 可 
疑 的 黑客 人 侵 现 象 ) ,那么 可 通过 远程 或 登录 本 地 计算 机 ,使 用 命令 行 ps 来 查看 当前 系统 的 


册 认 3 


范例 1: 命令 
(2) 用 户 登 录 信 息 
Linux 系统 提供 了 “who”“w” 等 命令 查看 用 户 登 录 信 息 。“who” 命 令 主 要 用 于 查看 当 
“w "也 可 以 用 于 查看 登录 到 系统 的 用 户 情 总 如 图 6. 72 
打 用 户 登 录 的 系统 信息 ,还 可 以 显示 出 这 些 用 户 
: 行 哪些 活动 ,可 以 简单 地 理解 “w” 是 who” 的 增 


命令 
uname -a 
cat /etc/1issue 
cat /proc/cpuinfo 
hostname 
lspci 
lsusb 
lsmod 
env 
cat /proc/ meminfo 
df -h 
du -sh (目录 和 名》 
uptime 
mount | column -t 
fdisk -l 
swapon -s 
dmesg 
ifconfig 
iptables -L. 
route -n 
netstat -antp 
netstat -S 
ps -ef 
top 
WwW 
id 《用 户 名 》 


last 


cut -d: -fl /etc/passwd 
cut -d: -{f] /etc/ group 


crontab -| 


service --status-all 


前 登录 的 用 户 情 况 如 图 6.71 所 示 ; 
所 示 ,但 是 功能 更 加 强大 ,除了 可 以 显示 
和 ， 


息 从 而 分 析 用 户 正在 进 
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表 6.34 Linux 开机 取证 常用 命令 


功能 描述 
查看 内 核 /操作 系统 /CPU 信息 
查看 操作 系统 版 本 
查看 CPU 信息 
查看 计算 机 名 
列 出 所 有 PCI 设备 
列 出 所 有 USB 设备 
列 出 加 载 的 内 核 模块 
查看 环境 变量 
查看 内 存 和 交换 区 情况 
查看 各 分 区 使 用 情况 
查看 指定 目录 的 大 小 
查看 系统 运行 时 间 .用 户 数 、 负 载 
查看 挂 载 点 的 情况 
查看 指定 设备 的 分 区 情况 
查看 所 有 交换 分 区 
显示 系统 启动 的 过 程 信息 
查看 所 有 网 络 接口 的 属性 
查看 防火 墙 设置 
查看 路 由 表 信 息 
查看 所 有 监听 端口 和 建立 的 连接 
查看 网 络 统计 信息 
查看 所 有 进程 
实时 显示 进程 状态 
查看 当前 登录 的 活动 用 户 
查看 指定 用 户 的 信息 


查看 用 户 登 录 日 志 


查看 系统 所 有 用 户 

查看 系统 所 有 组 

查看 当前 用 户 的 计划 任务 
列 出 所 有 系统 服务 


“ps aux” 列举 系统 所 有 进程 (如 图 6.70 所 示 )。 
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图 6. 70 ”Ps 命令 查看 系统 所 有 进程 


图 6.71 who 命令 查看 登录 用 户 信 息 


图 6.72 w 命令 查看 登录 用 户 信 息 


(3) 文件 内 容 搜索 (grep) 


“grep ”是 Linux 中 很 常用 的 一 个 命令 ,主要 功能 就 是 进行 字符 串 数据 的 比 对 , 文 持 使 用 
正则 表达 式 搜索 文本 ,并 将 符合 要 求 的 字符 串 打 印 出 来 。“grep” 可 以 对 文件 内 容 进 行 搜索 
比 对 ,也 可 以 应 用 在 管道 中 ,对 其 他 工具 的 输出 行进 行 过 滤 。 取 证 过 程 中 经 党 需要 对 文件 内 


容 进行 查找 和 和 定位 ,所 以 税 握 grep 的 用 法 对 现场 取证 十 分 有 帮助 。 


“grep” 命 令 的 格式 大 致 如 图 6.73 所 示 , 可 以 设置 多 个 选项 参数 (OPTION)( 见 表 6. 35) ,使 


用 指定 的 模式 (PATTERN) 在 管道 .输入 或 多 个 文件 中 继续 匹配 。 
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sp land@Oubuntu: ~ 


landgubuntu:~$ Jrep 

Usage: grep [OBETIOQN]... PATTERN [FILE]... 

Try "grep =--help’” for more iniormation. 

landeubuntu:-S 四 
局 Be = 3 EE 


图 6.73 ”grep 命令 的 格式 


表 6.35 grep 选项 功能 描述 


grep 选项 选项 功能 描述 
-Cc 只 输出 匹配 行 的 计数 
-1 匹配 时 不 区 分 大 小 写 
-n 显示 匹配 行 和 行 号 
-Ss 不 显示 不 存在 或 无 匹配 文本 的 错误 信息 
-vy 显示 不 包含 匹配 文本 的 所 有 行 
-0 只 显示 正则 匹配 的 文本 
-r 递归 查找 所 有 子 目 录 内 容 


grep 在 现场 取证 实战 中 的 用 途 非 常 广 这 ,下面 是 几 个 实例 : 

netstat -nap|grep 80 井 查询 监听 80 端口 的 进程 

history -n | grep kill 井 查找 命令 行 历史 中 执行 过 的 kill 指令 ,并 显示 行 号 

(4) 文件 查找 (find) 

“find” 命 令 可 用 来 在 某 一 目录 中 递归 查找 具有 指定 特征 的 文件 ,是 开机 取证 /调查 过 程 
中 的 和 常 用 命令 。“find” 命 令 可 以 和 其 他 命令 结合 ,在 查找 的 同时 完成 复制 等 操作 ,节省 调查 
员 的 时 间 [a 

在 Linux 系统 中 ,“find” 命 令 的 一 般 形 式 为 : 


find [-H| [-L| [-P] [-D debugopts| [-Olevelj [path...| Lexpression| 


find” 命令 功能 很 蝇 大 、 参 数 极 其 复杂 ,这 里 就 不 一 一 说 明了 。 实 战 中 可 以 从 一 些 简 单 
的 命令 开始 使 用 ,在 需要 复 洒 查找 的 情况 下 通过 查询 手册 获 得 详细 的 指令 参数 。 下 面 还 是 
以 一 些 例子 来 说 明 “find" 命 令 的 典型 用 途 : 

# find /etc -name "passwd * " -exec grep "land" {} \; 

在 “/etc” 目 录 下 找 出 所 有 文件 名 以 “passwd” 开 头 的 文件 ,然后 通过 “grep” 命 令 找 出 其 
中 “land” 用 户 的 信息 。 

find . -name "[A-Z| *" -print 

在 当前 目录 及 子 目 录 中 查找 文件 名 以 一 个 大 写字 母 开 涉 的 文件 

find . -perm 755 -print 

在 当前 目录 下 查找 文件 权限 位 为 “755” 的 文件 , 即 文件 属 主 可 以 读 、 写 、 执 行 ,其 他 用 户 
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可 以 谱 .执行 的 文件 

# find /ete -user land -print 

在 /etc 目录 下 查找 文件 属 主 为 “land” 的 文件 

find /home/ -typef-mtime -1 -name " 关 .exe" 

在 “/ home” 目录 中 找 出 所 有 修改 时 间 在 1 天 内 扩展 名 为 "exe” 的 文件 

sS。 可 引导 Linux 取证 光 坝 

与 Windows 操作 系统 不 同 的 是 ,Linux 系统 天 生 内 置 对 人 硬盘 文件 系统 的 加 载 控制 能 
力 , 通 过 命令 mount 即 可 以 写 保 护 ( 只 读 ) 方 式 来 加 载 文 件 系 统 。 因 此 诞生 了 不 少 基 于 
Linux 核心 的 取证 系统 光盘 ,如 DEFT、CAINE、PALADIN( 见 图 6. 74 和 图 6. 75)、Linen 
等 。Linux 取证 光盘 可 以 文 持 大 多 数 的 基于 Intel 架构 的 便 件 。 


| 
UINAUIECE 
Forensics or 


Paladin Too... 


Install Sum,... 


UMUIITICOM 


图 6.74 Paladin Linux 取证 光盘 


6.4.5 小 结 


要 熟练 掌握 对 UNIX/Linux 系统 的 取证 分 析 , 必 须 先 了 解 文件 系统 .LVM 逻辑 着 管理 
着 等 基础 知识 ,并 千 握 常用 的 谷 令 行 工具 和 专用 工具 的 使 用 ,这 些 信 息 均 可 带 助 电子 数据 取 
证 人 员 开 展 UNIX/Linux 相关 的 调查 。 
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一 3 | 
Find Device Imager 


Unallocated | Source jdev/sda VMware Virtual s 60.00GB -| 


Disk Manager ImageType |EWF(E01) :| @Verifyaftercreation 
| 
| Destination | ldev/sdb1 VMware Virtual 5 FAT32 32.00GB vfat | Segment Size 


Label lBidencel /|2000 


Imaging (Additional) x | 


Imaging /dev/sda as EWF (E01) 
Lcancel 


ify after creation 


ment Size 


Es 


Live Progress 


status: at 0%. 
acquired 
32 KiB (32768 bytes) 


of total 60 GiB (64424509440 bytes). 
status: at 0%. 
acquired 32 KiB (32768 bytes) of total 60 GiB (64424509440 bytes). 


SUrUri LLC, USA 


Paladin 5.0 


6.75 将 源 盘 制作 两 份 镜像 副本 (E01 格式 ) 


6.5 移动 终端 取证 


移动 终端 ,其 典型 代表 是 手机 和 平板 电脑 ,近年 来 发 展 迅 速 。 移 动 终 器 在 方便 人 们 商务 
办 公 和 个 人 联系 的 同时 ,也 为 犯罪 分 子 提供 了 了 便利。 数字 移动 终端 已 经 成 为 一 种 值得 霍 惕 
的 犯罪 工具 和 对 象 。 由 于 数字 移动 终端 的 运行 机 制 不 同 于 传统 计算 机 设备 ,移动 终端 的 取 
证 对 取证 人 员 提 出 了 新 的 挑战 ,已 经 成 为 目前 取证 工作 中 的 一 个 难点 。 公 安 机 天 等 执法 部 
门 急需 有 效 的 技术 手段 和 方法 来 应 对 这 种 类 型 的 犯罪 活动 。 本 方 将 阐述 数字 移动 终端 的 基 
本 第 识 ,以 及 在 这 些 设备 上 获取 和 分 析 电 子 数 据 的 工具 和 技术 。 


6.5.1] 移动 终端 概述 
1. 移动 终端 的 发 展现 状 
随 着 科技 进步 和 数字 移动 通信 网 络 的 普及 ,手机 和 平板 电脑 等 移动 终端 已 经 成 为 人 们 


上 四 刘 轻 衬 , 李 锦 , 刘 洛阳 等 , 电子 数据 检验 技术 与 应 用 . 北京 : 公安 大 等 出 版 社 ,2015. 
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办 公 和 联系 的 必 备 工具 。 根 据 统 计 ,截至 2013 年 10 月 ,中 国手 机 用 户 规模 为 12 亿 户 左右 ， 
其 中 智能 手机 用 户 规模 为 5. 16 亿 户 。 智 能 手机 手机 操作 系统 以 苹果 公司 的 10S 和 谷歌 公 
司 的 Android 为 主 ,两 者 占 比分 别 为 67. 74% 和 19. 16% ,总 和 超过 86% 了。 

基于 移动 终端 的 应 用 ,已 经 将 移动 终端 从 简单 的 通话 和 短信 功能 ,增加 到 社交 、 购 物 、 支 
付 、 饮 食 .旅行 等 多 种 应 用 。 物 理 世 界 中 的 社会 功能 都 可 以 通过 移动 通信 这 个 载体 上 以 虚拟 
化 的 形式 完成 。 移 动 终端 在 作为 沟通 工具 的 同时 ,也 改变 了 人 们 的 生活 方式 。 可 以 这 么 说 ， 
“ 指 尖 上 ”的 移动 终端 是 未 来 社会 的 主要 沟通 媒介 ,融入 社会 生活 的 各 个 方面 。 

2. 移动 终端 的 定义 

移动 终端 指 内 内 操 作 系 统 , 具 备 运算 通信、 存储 等 功能 的 体积 小 巧 . 可 以 便携 的 数字 
设备 。 
数字 移动 终端 主要 包括 智能 手机 、 功 能 手机 、 平 板 电 脑 .GPS、 可 穿戴 设备 .智能 家 居 设 
备 等 。 数 字 移 动 终端 生产 的 厂商 众多 ,产品 纷 终 复 杂 。 无 法 简单 以 厂商 或 者 产品 加 以 区 分 。 
除 功能 手机 使 用 各 厂商 专门 开发 的 戏 人 式 系统 之 外 ,智能 手机 和 平板 电脑 都 内 置 有 完整 功 


6.5.2 移动 终端 取证 概述 


数字 移动 终端 外 形 小 巧 ,基本 内 置 了 通讯 .蓝牙 及 其 他 无 线 模块 。 通 过 数字 网 络 同 其 他 
设备 进行 通信 。 网 络 的 连接 和 大 容量 的 存储 可 以 保存 大 量 重要 信息 。 例 如 通讯 录 、 通 话 记 
录 、 短 信 这 些 侦查 工作 中 极为 重视 的 数据 。 除 此 之 外 ,智能 手机 还 存储 有 即时 通信 (例如 
QQ、 微 信 ) .上 网 记录 电子 邮件 .地 理 交 通 、 网 络 交易 .备忘录 、 待 办 事项 、 密 码 、 照 片 .语音 
和 视频 等 种 种 信息 。 这 些 信息 都 以 二 进 制 的 格式 保存 在 移动 终端 中 。 大 数据 时 代 已 经 到 
来 , 许 许多 多 的 犯罪 活动 混杂 其 中 。 因 此 国家 执法 部 门 对 电子 数据 分 析 方面 的 技术 需求 就 
显得 更 加 人 迫切 ,移动 终端 取证 是 电子 数据 取证 的 重要 发 展 方向 。 

1. 移动 终端 取证 的 特点 

数字 移动 终端 可 以 成 为 重要 的 电子 数据 来 源 ,许多 执法 人 员 由 于 不 具备 相关 知识 ,并 没 
有 意识 到 这 一 点 。 因 此 在 工作 中 并 没有 有 效 地 保护 这 些 设备 和 电子 数据 。 针 对 移动 终端 的 
取证 还 要 考虑 到 移动 终端 的 特点 : 

(1) 数据 的 动态 性 

取证 的 前 提 是 保证 数据 的 原始 性 和 完整 性 ,通常 需要 执行 原始 介质 的 位 对 位 复制 。 但 
是 数字 移动 终端 的 存储 是 动态 的 ( 哈 希 校 验 值 实时 改变 ) ,而 且 各 厂商 产品 的 存储 方式 也 不 
尽 相同 。 相 对 于 计算 机 设备 ,数字 移动 终端 及 其 中 的 电子 数据 ,更 容易 被 影响 和 算 改 。 从 而 
导致 证 据 丢失 、 线 索 中 断 。 例 如 : 手机 在 取证 的 过 程 中 有 了 呼 人 电话 ,可 能 会 导致 之 前 的 通话 
记录 被 自动 删除 。 同 时 由 于 移动 终端 的 数据 存储 于 NAND 中 ,类 似 于 内 存 。 数 据 始终 处 于 


OD CNIT-Research( 中 国 IT 研究 中 心 ):《 中 国手 机 地 图 市 场 监测 报告 》,2013 年 10 月 份 
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动态 变化 中 。 这 就 无 法 对 存储 计算 校 验 值 以 保证 数据 原始 性 。 

(2) 系统 的 封闭 性 

对 于 数字 移动 终端 取证 软件 的 基本 要 求 是 可 识别 ,可 处 理 存储 空间 。 在 电子 数据 取证 
中 ,这 一 步骤 是 必 不 可 少 的 。 计 算 机 设备 的 存储 介质 一 般 都 是 单独 部 件 , 可 以 移动 。 但 是 移 
动 终端 的 存储 一 般 固 化 在 主板 上 ,集成 度 要 高 于 计算 机 存储 介质 。 对 于 移动 终端 的 取证 , 除 
了 Android Ubuntu 等 少数 移动 终端 操作 系统 是 开源 的 之 外 ,其 他 的 操作 系统 都 是 厂商 私 
有 系统 ,其 系统 运行 方式 和 数据 存储 方式 不 公开 。 目 前 尚 无 可 徘 的 只 读 设备 来 保证 获取 移 
动 终端 存储 时 ,数据 不 会 被 修改 。 因 为 要 获取 物理 内 存 数据 ,就 必须 对 移动 终端 的 保护 机 制 
进行 破解 。 例 如 10S, 通 过 系统 的 封闭 来 保证 安全 性 ,取证 10S 设备 必须 进行 越狱 才能 获取 
物理 内 存 。 对 10S 设备 进行 “越狱 ”, 直接 就 修改 了 系统 和 用 户 分 区 。 

(3) 存储 方式 的 不 统一 

移动 终 问 的 更 新 换代 速度 很 快 ,每 个 月 都 会 有 新 的 移动 终 症 发 布 , 旧 的 移动 终 问 退 市 。 
新 旧 设 备 并 存 于 市 场 之 中 。 这 些 设 备 的 存储 方式 部 不 尽 相 同 , 数 据 通 信 方 式 也 各 有 规则 。 
即使 同一 厂商 发 布 的 不 同 产品 ,甚至 同一 型 号 的 产品 (例如 各 种 定制 机 ) ,都 会 在 存储 方式 上 
有 所 不 同 。 除 此 之 外 , 山 春 机 的 模仿 程度 越 来 越 高 ,山寨 机 的 外 形 .重量 .操作 界面 都 与 真 机 
没有 差别 ,但 是 内 部 主板 和 操作 系统 却 截然 不 同 。 手 机 的 软件 也 同样 存在 此 种 情况 ,不 同 版 
本 的 软件 在 数据 存储 上 可 能 会 有 较 大 的 变化 ,例如 运行 在 iOS 6 上 的 微 信 和 ioOS 7 上 的 微 
信和 存储 格式 截然 不 同 。 

因此 ,移动 终端 的 取证 具有 “ 取 ” 与 “证 ”分 离 的 特点 。 在 传统 计算 机 取证 中 ,“ 取 ”作为 
“证 ”的 一 个 环节 。 而 在 移动 终端 取证 过 程 中 ,“ 取 ”是 最 大 的 障碍 ,一 旦 突破 “ 取 ”, 基 本 上 所 
有 的 数据 都 一 览 无 余 , 只 需要 进行 深层 次 的 挖 扬 即 可 ,如 表 6. 36 所 示 。 

表 6.36 移动 终端 取证 与 计算 机 取证 的 区 别 帆 


移动 终端 取证 计算 机 取证 

移动 操作 系统 传统 操作 系统 
动态 存储 静态 存储 

集成 存储 MB-GB 级 存储 规模 GB-TB 级 
动态 内 存 镜像 位 对 位 镜像 


移动 终端 的 特点 给 移动 终端 的 取证 设置 了 障碍 ,使 得 移动 终 病 的 取证 难度 还 还 超过 传 
统 的 计算 机 取证 。 移 动 终 病 生 产 广 商 不 断 提 高 的 安全 机 制 也 对 于 移动 终 病 取 证 迄 成 困难 ， 
越 来 越 多 的 应 用 程序 也 可 能 会 让 取证 人 员 忽 略 一 些 数据 。 同 时 不 同 厂 商 的 专业 工具 对 同一 
手机 获取 的 数据 甚至 不 一 致 ,没有 一 种 工具 能 够 完美 地 文 持 所 有 的 移动 终 病 。 保 证 数据 原 
始 性 和 完整 性 这 一 “ 铁 律 "也 在 移动 终 问 取证 中 受到 挑战 。 


中 米 佳 , 刘 测 阳 . 数字 移动 设备 取证 方法 研究 . 湖南 高 等 警官 学 报 ,2007 年 第 2 期. 
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2. 移动 终端 取证 的 原则 

在 新 的 取证 环境 下 ,计算 机 取证 中 的 一 些 规则 在 你 证 证 据 效 力 的 前 提 下 ,进行 了 一 些 修 
改 。 按 照 业 界 普 遇 认可 的 ACPO(Association of Chief Police Office 瑞 国 首席 警官 协会 ) 原 
则 ,能 够 指导 我 们 在 移动 终端 取证 中 规范 取证 流程 ,保证 证 据 的 可 信 。ACPO 原则 认为 : 

(1) 取证 人 员 不 能 采取 任何 可 能 会 改变 介质 中 数据 的 行为 。 

(2) 特殊 情况 下 ,取证 人 员 需 要 访问 原始 介质 ,必须 有 能 力 进 行 此 操作 ,并 且 能 够 解释 

(3) 取证 人 员 的 取证 过 程 应 当 被 审计 或 者 记 录 ,种 三 方 机 构 可 以 根据 记录 重 现 整个 取 
证 过 程 。 
(4) 取证 人 员 应 当 齐 守法 律 法 规 。 

移动 终端 取证 也 普遍 认可 这 一 原则 。 但 是 有 一 点 人 不同, 在 传统 介质 取证 过 程 中 ,通过 利 
用 只 旋 设 备 或 者 对 介质 镜像 ,可 以 保证 介质 的 原始 性 。 但 是 在 移动 终端 取证 领域 ,没有 只 旋 
设备 ,也 无 法 对 动态 存储 进行 镜像 并 校 验 。 因 此 在 章 循 ACPO 规则 的 前 提 下 ,目前 公认 的 
关于 移动 终端 的 取证 是 接受 不 影响 证 据 效 力 的 有 限 修改 ,或 者 排除 受到 修改 的 数据 ,能 够 保 
证 证 据 链 的 真实 性 ,对 系统 功能 进行 必要 的 修改 是 允许 的 。 同 时 这 些 过 程 受 到 严格 监督 并 
记录 在 案 。 这 也 是 目前 世界 各 国 司法 机 构 认 可 的 一 个 准则 。 


6.5.3 移动 终端 取证 基础 知识 


数字 移动 终端 取证 的 着 眼 点 并 不 是 它 的 形态 和 型 号 ,而 是 其 中 保存 的 数据 ,而 数据 是 与 
设备 类 型 .操作 系统 和 数据 存储 方式 有 关 的 。 因 此 必须 要 了 解数 字 移 动 终端 的 类 型 .操作 系 
统 和 数据 存储 方式 的 相关 知识 。 

1. 移动 终端 的 分 类 

移动 终 病 从 功能 .系统 应 用 角度 出 发 ,主要 分 为 以 下 三 种 类 型 : 

(1) 功能 终端 

在 iDS、Android、Windows Phone 等 乔 能 移动 操作 系统 未 面世 前 ,很 多 非 PDA 类 型 的 
设备 以 手机 为 主 , 这 类 设备 称 为 功能 移动 终 病 ,也 叫 功 能 手机 (Feature Phone)。 功 能 手机 
的 平台 是 封闭 性 藤 人 式 系统 (Java 平台 和 brew 平台 为 代表 )。 各 厂商 独立 开发 ,运行 方式 
和 存储 方式 不 同 外 公开 。 其 存储 紫 容 量 较 小 旦 类 型 为 ROM。 它 的 运算 能 力 十 不 如 智能 手 
机 ,功能 手机 的 应 用 ,仅仅 限于 打 电 话 、 收 发 短信 ,还 可 以 运行 一 些 Java 应 用 程序 。 功 能 机 
主要 厂 阐 有 Nokia、Motorola、Philips、Samsung、LG 等 。 

(2) 智能 终端 

智能 终端 , 指 具 有 独立 的 移动 操作 系统 ,可 通过 安装 应 用 软件 .游戏 等 程序 来 扩充 设备 
功能 ,运算 能 力 及 功能 均 优 于 传统 功能 手机 和 PDA。 智 能 终端 以 智能 手机 (Smart Phone) 、 


DD ACPO: Good Practice Guide for Digital Evidence Version Five,2011 年 10 月 
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平板 电脑 为 主 。 千 能 终端 的 操作 系统 主要 有 谷歌 的 Android( 安 早 ) 系 统 、. 平 果 的 19OS 系统 、 
微软 的 Windows Phone 系统 .诺基亚 的 Symbian( 塞 班 ) 系 统 、 黑 每 公司 的 Blackberry 系统 、 
三 星 的 Bada 系统 和 其 他 一 些 舱 入 式 Linux 系统 。 

目前 终 靖 市 场 上 ,鲁能 终 病 占据 主流 ,由 于 旬 能 终端 制造 技术 的 进步 和 成 本 的 降低 , 功 
能 机 占据 的 份额 越 来 越 少 。 同 时 乔 能 操作 系统 的 市 场 份额 逐步 集中 到 10S 和 Android 
上 面 。 

CO iOS 

史 带 夫 。 乔 布 斯 领导 的 苹果 公司 设计 的 上 第 一 蒜 10S 产品 是 iPod。iPod 尽管 是 一 球 音 
乐 播放 设备 ,但 是 具有 日 历 、 照 片 和 视频 功能 。 在 iPod 的 基础 上 ,苹果 公司 又 开发 出 来 了 
iPhone 和 iPad。 目 前 ,苹果 公司 并 不 对 外 共享 iOS 许可 ,因此 iOS 只 存在 于 苹果 公司 的 设 
备 中 。 搭 载 :iOS 操作 系统 的 苹 打 设备 以 运行 效率 高 .界面 美观 者 称 。 主 要 产品 为 iPhone 和 
iPad。iOS 的 同步 工具 是 iTunes。 

@ Android 

Android 是 一 种 基于 Linux 的 和 目 由 及 开放 源 代 码 的 操作 系统 ,主要 应 用 于 智能 终端 ,如 
千 能 手机 和 平板 电脑 ,由 Google 公司 和 开放 手机 联盟 领导 及 开发 。 疝 未 有 统一 中 文 名 称 ， 
中 国 大 陆地 区 较 多 人 称 为 “安里 ? 或 “ 安 致 ”。 

目前 ,Android 以 其 开放 性 , 巡 潮 扩展 到 平板 电脑 及 其 他 领域 上 ,如 电视 、 数 码 相 机 、 洲 
戏 机 等 。2013 年 的 第 四 季度 ,全 世界 采用 这 球 系统 的 设备 数量 已 经 达到 10 亿 台 。Android 
已 经 成 为 10S 的 强 有 力 的 疯 争 对 手 。 

3) Windows Phone 

微软 公司 对 于 手机 操作 系统 市 场 一 下 很 看 好 ,曾经 推出 Windows Mobile 系统 ， 
Windows Mobile 包括 Pocket PC、SmartPhone 以 及 Pocket PC Phone 三 大 平台 体系 。 但 是 
微软 公司 在 镶 能 设备 上 的 策略 一 下 是 混乱 的 ,例如 微软 公司 在 Windows Mobile 之 后 ,发 布 
了 Windows Phone 7 系统 ,并 且 跟 详 基 亚 合 作 进 行 次 度 开 发 。 在 意识 到 Windows Phone 7 
的 技术 架构 并 不 足以 抵抗 iOS 和 Android 后 。 和 人 微软 公 司 又 推出 了 Windows Phone 8 系统 ， 
Windows Phone 8 采用 和 Windows 8 相同 的 Windows NT 内 核 , 但 是 却 无 法 与 Windows 
Phone 7 的 应 用 兼容 。 这 种 架构 的 不 稳定 性 直接 导致 了 微软 公司 在 贸 能 终 问 市 场 的 份额 长 
久 以 来 无 法 提升 。 

BlackBerry 

BlackBerry OS 是 由 Research In Motion 公司 为 其 久 能 手机 产品 BlackBerry 开发 的 专 
用 操作 系统 。 这 一 操作 系统 具有 多 任务 处 理 能 力 , 并 文 持 特定 的 输入 疫 置 ,如 滚 毗 、 轨 迹 球 、 
触摸 板 以 及 触摸屏 等 。BlackBerry 平台 最 着 名 的 蝎 过 于 它 处 理 邮 件 的 能 力 。BlackBerry 手 
机 和 平板 电脑 在 国内 的 占有 率 很 低 。 

Symbian 

Symbian 系统 是 32 位 的 操作 系统 ,具备 实时 性 、 多 任务 的 、 多 线程 、 低 功 耗 ,内 存 占用 少 
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等 特点 。 曾 经 Symbian 操作 系统 占据 智能 手机 市 场 70% 以 上 的 份额 ,是 当之无愧 的 霸主 。 
但 是 由 于 Symbian 操作 系统 的 高 度 复 杂 和 诺基亚 的 故 步 自封 ,Symbian 在 功能 上 逐渐 输 给 
了 iOS 和 Android。2012 年 5 月 27 日 ,诺基亚 宣布 ,彻底 放弃 继续 开发 塞 班 系统 。 但 是 市 
场 的 Symbian 系统 手机 存量 较 大 ,在 实际 取证 应 用 中 还 是 经 常 能 够 遇 到 Symbian 手机 。 

2013 年 第 四 季度 智能 设备 统计 数据 ,Android 和 iOS 占 比 最 大 ,分 别 为 67. 74% 和 和 
19. 16 上 % ,其 总 和 超过 85%; 其余 的 Windows Phone、Symbian 和 其 他 操作 系统 分 别 占 比 
5.12% 、4.85% 和 3. 13%。 

除了 上 述 乔 能 终端 操作 系统 外 ,还 有 一 些 新 兴 的 操作 系统 ,例如 三 星 bada、Ubuntu、 
Firefox 等 系统 。 但 是 这 些 操作 系统 在 功能 上 还 不 完善 ,还 不 构成 对 于 i1OS 和 Android 的 实 
质 威 胁 。 

(3) 山寨 机 

山系 机 是 特 指 2003 年 开始 在 中 国内 地 设计 制造 生产 的 一 类 仿制 名 牌 或 杂牌 、 小 品牌 的 
手机 ,这 些 手 机 没有 目 己 的 技术 ,完全 和 菲 去 部件 组 闻 产 品 的 手工 作坊 类 的 小 工 片 制作 的 手 
机 岂 。 其 外 形 通常 都 与 一 些 知名 一 线 品 牌 的 热门 产品 极其 相似 ,又 没有 正式 的 品牌 ,甚至 有 
些 是 打 Sunyericcsun、NOKIR、SAMSING 这 样 的 擦边球 品牌 。 山 寨 机 的 特点 是 成 本 低 , 出 
货 量 大 ,不 遵守 技术 标准 和 规则 。 这 一 切 给 取证 工作 带 来 了 很 大 的 困扰 。 

在 功能 机 时 代 ,山寨 机 使 用 的 芯片 主要 为 MTK 展讯 等 芯片 。 例 如 MTK 平台 采用 的 
是 Nucleus OS。 在 智能 手机 时 代 ,山寨 机 的 芯片 已 经 能 够 文 持 Android 操作 系统 ,除了 和 有 堆 
部 件 有 所 不 同 外 ,山寨 机 的 操作 系统 目前 已 经 基本 为 Android 操作 系统 。 

移动 终端 领域 的 激烈 竞争 ,使 得 技术 落后 的 或 者 生产 效率 低下 的 厂商 纷纷 出 局 ,在 经 历 
了 几 年 的 市 场 洗 牌 后 ,移动 终端 的 操作 系统 ,特别 是 手机 的 操作 系统 ,已 经 逐步 统一 到 10S、 
Android ,其 他 的 操作 系统 的 份额 逐步 萎缩 ,少数 系统 彻底 消失 。 这 也 使 移动 终端 取证 工作 
的 重心 回 1i90S 和 Android 倾斜 ,在 几 年 的 技术 积 昧 后 ,移动 终端 的 取证 有 了 重大 突破 。 对 于 
IOS、Android 等 操作 系统 的 取证 有 了 比较 成 熟 的 方法 。 本 文 重点 将 对 10S 和 Android 移动 
操作 系统 的 取证 加 以 介绍 。 

2. 移动 通信 技术 

1973 年 3 月 ,摩托 罗拉 公司 的 Martin Cooper 教授 在 纽约 街头 ,使 用 第 一 款 丰 正 意义 的 
移动 电话 DynaTAC 给 他 的 竞争 对 手 一 一 美国 电报 电话 公司 (AT&T) 贝 尔 实验 室 主管 Joel 
S、Engel 教授 打 了 第 一 个 电话 ,标志 移动 通讯 时 代 的 到 来 。 移 动 电 话 必须 依托 相应 的 通信 


(1) 第 一 代 移 动 通信 技术 (1G) 
初创 时 代 的 移动 通信 ,制式 很 多 ,例如 NMT、.AMPS、TACS, 基 本 是 波 分 复 用 方式 , 属 
于 模拟 通信 ,通话 质量 不 高 .保密 性 差 。 第 一 代 移 动 通信 技术 的 代表 是 “大 哥 大 ”。 我 国 已 经 


@ 百度 知 痢 : 山 秦 机 


第 6 章 电子 数据 取证 技术 193 


于 2001 年 12 月 31 日 正式 关闭 模拟 移动 电话 网 。 

(2) 第 二 代 移 动 通信 技术 (2G) 

第 二 代 移 动 通 信 技 术 有 GSM CDMA TDMA 等 。2G 主要 以 数字 电路 交换 为 主要 传 
输 手 段 ,速度 更 快 、 质量 更 好 。 同 时 随 着 制造 技术 的 进步 ,移动 电话 超 于 小 型 化 。2G 技术 还 
增加 了 新 的 电信 服务 SMS( 短 信 ) 和 GPRS 数据 业务 。 尽 管 现 在 通信 技术 发 展 很 快 ,但 是 
2G 技术 仍然 占据 了 重要 地 位 。 

(3) 第 三 代 移 动 通信 技术 (3G) 

由 于 技术 和 利益 关系 ,3G 标准 在 国际 上 无 法 统一 。 我 国 的 三 大 通信 和 运营 商 使 用 了 三 种 
不 同 的 3G 技术。 中 国 移动 使 用 TD-LTE; 中 国联 通 使 用 WCDMA; 2G 到 3G 的 转换 过 程 
中 ,还 出 现 了 CDMA2000 1X 这 类 的 2. 5G 技术 。CDMA2000 2X 主要 为 中 国电 信使 用 。 
3G 相对 于 2G ,主要 在 数据 传输 和 保密 性 上 有 了 较 大 提高 。 

(4) 第 四 代 移 动 通信 技术 (4G) 

4G 技术 支持 100Mbps 一 150Mbps 的 下 行 网 络 带 宽 , 也 就 是 4G 意味 者 用 户 可 以 体验 到 
最 大 12.5MB/s 一 18.75MB/s 的 下 行 速度 。 这 是 当前 主流 移动 3G(TD-SCDMA)2. 8Mbps 
的 35 倍 , 中 国联 通 3GC(WCDMA) 的 25 倍 。2013 年 12 月 4 日 ,工业 和 信息 化 部 向 中 国联 
通 .中 国电 信 中国 移 动 正 式 发 放 了 4G 牌照 ,中 国 移动 .中 国电 信 、 中 国联 通 三 家 均 获 得 
TD-LTE 牌照 ,此 举 标志 着 中 国电 信 产 业 正 式 进 入 了 4G 时 代 。 

移动 通信 技术 具体 到 手机 本 号 ,是 由 手机 的 基 刺 芯片 负责 的 。 基 带 忌 片 是 对 数据 进行 
编码 ,发 射 给 基站 ,或 对 接收 到 的 基调 信号 进行 解码 。 基 市 必 片 主要 利用 通信 协议 进行 编码 
解码 ,类似 CPU ,数据 还 是 存储 在 手机 的 存储 颖 中 。 ny 
仅 是 作为 手机 通信 方式 的 一 个 参照 ,以 此 判断 手机 的 功能 和 数据 类 型 。 极 少数 的 案例 中 , 通 
过 攻击 基带 芯片 劫持 手机 ,这 需要 对 基带 进行 分 析 , 不 过 这 需要 相当 4 强 的 通信 知识 。 

3. 移动 终端 的 接口 

接口 是 连接 移动 终端 和 计算 机 (或 充电 器 ) 的 纽带 。 移 动 终端 通过 接口 传输 数据 或 者 充 
电 。 手 机 刚刚 诞生 的 时 代 ,接口 的 标准 不 统一 ,每 个 厂家 为 了 保护 知识 产权 ,都 使 用 了 不 同 
接口 ,甚至 是 同一 广 家 的 移动 终端 ,也 使 用 不 同 接口 。 比 如 最 初 的 iPad, 固 执 的 使 用 火线 接 
口 (1394A)。USB 接口 具有 普及 率 广 和 热 插 拔 的 优势 ,逐步 取代 了 其 他 接口 成 为 计算 机 ( 充 
电 希 ) 闪 的 标准 接口 ,而 移动 终端 的 ,还 是 由 各 厂商 目 行 定 义 , 但 是 现在 已 经 逐步 统一 为 
30-pin( 羊 果 iPhone4s 之 前 设备 )、Lightning( 半 果 1Phone 5.5S.5C)、Micro-USB( 安 早 ) 。 

4. 移动 终端 的 存储 

针对 数字 移动 终端 进行 获取 和 分 析 ,就 不 能 不 了 解 这 些 设备 的 存储 方式 。 数 字 移 动 终 
端 中 的 数据 通常 存放 在 内 部 存储 和 外 部 存储 中 。 对 于 取证 人 员 , 内 部 存储 中 的 数据 是 最 为 
关键 的 、 也 是 最 难以 获取 的 。 因 为 出 于 保护 自己 知识 产权 的 考虑 ,数字 移动 终端 厂商 会 对 其 
产品 设计 进行 一 些 非 常规 的 存储 方式 ,万 至 采取 加 密 人 存储 技术 。 因 此 对 于 从 数字 移动 终端 
上 获取 可 利用 的 数字 证 据 ,必须 了 解数 据 在 数字 移动 终端 上 的 处 理 和 存储 方式 , 震 要 特殊 的 
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工具 和 技术 。 

移动 终端 利用 两 种 存储 介质 来 保存 内 部 数据 : 内 部 存储 通常 分 为 ROM(Read Only 
Memory, 只 请 存储 着 ) 和 RAM(Read Access Memory, 随机 访问 存储 般 )。 易 失 性 存储 
(RAM) 作 为 内 存 使 用 ; RAM 用 于 系统 加 载 、 执 行程 序 、 保存 动态 数据 。RAM 在 重新 启动 
后 不 会 保存 数据 。RAM 中 可 能 会 包含 重要 数据 ,例如 用 户 名 、 密 码 、 密 钥 .进程 和 应 用 程序 
数据 2，。 

非 易 失 性 存储 器 使 用 的 是 NAND 作为 数据 存储 使 用 。NAND 本 质 上 还 是 闪存 
(Flash) ,因此 单位 存储 密度 高 . 读 写 很 快 。ROM 包含 操作 系统 和 基本 功能 需要 的 软件 ,其 
空间 除 操作 系统 文件 被 保护 之 外 ,其 余 空 间 也 可 用 于 存储 数据 。RAM 被 用 来 存储 用 户 数 
据 和 软件 ,一旦 断 电 ,数据 就 会 消失 。 

NAND 的 存储 方式 与 硬盘 驱动 需 类 似 , 在 设备 关闭 或 重启 后 数据 仍然 存在 。 但 是 
NAND 没有 机 械 部 分 , 巾 完 全 的 存储 芯片 和 电路 组 成 。NAND 适合 于 存储 连续 的 数据 ,如 
图 片 .音频 或 个 人 电脑 数据 。 NAND 基于 页 (典型 的 页 在 512 一 2048 字 节 ) 读 取 ,iPhone4 由 
于 存储 增 大 ,页 大 小 为 8192 字 节 。NAND 写 和 人 时 需要 先 擦 除 后 写 人 。 这 是 因为 NAND 闪 
存 阵列 分 为 一 系列 的 区 块 (block) ,一 个 块 由 硅 干 页 组 成 ,这 些 区 块 是 NAND 冀 件 中 最 小 的 
可 擦 除 实体 。 写 人 时 先 擦 除 一 个 区 块 ,就 是 把 所 有 的 位 (bitb) 设 置 为 “17( 而 所 有 字 节 (byte) 
设置 为 0xFF)。 存 储 时 ,基于 页 进行 写 信 ,将 已 擦 除 的 位 从 “1” 变 为 “0”。 因 此 ,NAND 最 小 
的 存储 实体 是 页 。 

NAND 存储 单位 : 

。 读 ( 页 ) 。 

。 写 ( 页 )。 

在 物理 架构 上 ,移动 终端 往往 受到 体积 的 制约 ,因此 其 存储 要 求 小 巧 而 精密 。 手 机 等 移 
动 终 端的 NAND 和 RAM 被 放置 在 同一 个 部 件 上 , 称 为 MCP (multi-chip package, 多 芯片 
封装 ) 技 术 , 如 图 6.76 所 示 。 


引 肢 一 一 引 脚 


图 6.76 MCP 封装 结构 


林 远 进 , 吴 世 雄 , 刘 浩 阳 等 .电子 数据 勘查 取证 与 鉴定 (数据 居 复 与 取证 ). 北京 : 公安 大 学 出 版 社 ,2012. 
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除了 内 部 存储 外 ,移动 终端 还 文 持 外 部 存储 ,外 部 存储 包括 其 文 持 的 各 种 存储 卡 ,例如 
Android 设备 大 部 分 文 持 外 置 TF 卡 (MicroSD)。 这 些 存 储 卡 基本 采用 与 计算 机 介质 相同 
的 文件 系统 ,因此 取证 方法 也 相同 ,此 半 不 下 芍 述 。 

5. 移动 终端 的 编码 2 

移动 终端 的 编码 方式 大 多 与 计算 机 设备 的 编码 类 似 。 移 动 终 闪 的 编码 主要 为 以 下 
几 种 : 

(1) ANSI 一 一 普通 ASCII 编码 ; 

(2) UNICODE 一 一 UNICODE 标准 编码 ; 

(3) UCS2 一 一 手机 和 SIM 卡 中 的 数据 大 多 及 用 UCS2 编码 ,特别 是 中 文 手 机 更 是 
如 此 ; 

(4) UTF-8 一 一 UTF-8 格式 的 编码 ; 

(5) 7-BIT 一 一 手机 和 SIM 卡 采 用 的 一 种 编码 方式 ,将 正常 的 8 位 编码 按 照 7 位 重新 编 
个 。 有 些 严 文 手机 米 用 这 种 编外; 

(6) ISDN/ Telephone Numbering 是 欧洲 电 联 制定 的 一 种 编 公 方式 ,用 于 对 电话 号 
码 编码 ,例如 把 13916619034 编码 成 3119669130F4。 


6.5.4 移动 终端 的 取证 原理 


1. 移动 终端 的 取证 模型 2 

通信 协议 私有 和 存储 格式 不 公开 是 移动 终端 取证 的 最 大 困难 。 即 使 取证 人 员 能 够 通过 
目 视 方 法 看 到 其 中 的 数据 ,因为 不 知道 如 何 通 信和 以 导 出 数据 ,无 法 对 其 中 的 数据 进行 诛 层 次 
的 分 析 。 近 年 来 ,对 于 厂商 的 私有 通信 协议 的 解析 取得 了 突破 ,大 部 分 手机 都 能 够 通过 一 定 
连接 方式 进行 数据 的 获取 和 传输 ,这 就 为 移动 终端 的 数据 分 析 提 供 了 很 好 的 条 件 。 

在 此 基础 上 ,移动 终 问 取证 人 员 可 以 通过 
多 种 取证 方法 和 工具 的 有 机 结合 使 用 , 面 对 复 
杂 的 取证 工作 可 以 游 妃 有余。 在 2007 年 ,Sam 人 
Brothers( 十 位 计算 机 取证 或 移动 终 问 取 证 专 i 
家 ) ,根据 取证 的 对 象 不 同和 复杂 答 度 ,提出 花 。 二 于 
动 终端 取证 技术 模型 9, 如 图 6. 77 所 示 。 A 

这 个 模型 的 目的 是 让 取证 人 员 根 据 不 同 的 图 6.77 移动 终端 取证 技术 模型 
情况 ,选用 不 同 的 工具 对 移动 终 疾 进行 取证 。 
这 个 模型 从 下 到 上 ,方法 和 工具 越 来 越 专 业 , 同 时 难度 更 高 ,成 本 更 大 。 


@ 刘 浩 阳 . 数字 移动 设备 取证 方法 研究 . 湖南 : 湖南 公安 高 等 专科 学 校 学 报 ,2007. 
加 刘 浩 阳 . 物理 和 芯片 级 取证 技术 . 江西 : 计算 机 犯罪 调查 技术 峰会 ,2014. 
3 Sean Morrissey. 10S Forensic Analysis for IPhone，iPad and iPod Touch, Apress,2010. 
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第 一 级 : 人 工 获取 。 移 动 终端 的 勘 验方 法 在 专业 化 的 工具 和 软件 出 现 之 前 ,是 使 用 目 
视 的 方法 来 取证 。 这 种 方法 任何 一 个 执法 人 员 都 能 胜任 ,但 是 这 一 方法 有 着 极 大 的 缺陷 : 

(1) 目 视 方 法 的 前 提 是 对 于 移动 终端 或 其 中 的 应 用 程序 具有 访问 权限 ,例如 手机 的 解 
锁 密 码 、 软 件 的 登录 账号 。 如 果 不 具 有 权限 ,数据 将 无 法 被 访问 到 。 根 据 非 法 证 据 排除 原 
则 ,严禁 采取 暴力 手段 强迫 嫌疑 人 提供 密码 ,由 此 获取 的 数据 属于 无 效 的 “非法 数据 ”。 

(2) 目 视 方法 仅仅 适用 于 有 限 数 据 或 者 目标 数据 确定 的 移动 终端 。 智 能 手机 存储 的 信 
息 数 据 量 庞大 上 且 类 型 多 样 ,通过 目 视 方法 无 法 快速 地 定位 到 有 效 信 息 , 同 时 也 无 法 进行 高 效 
的 关联 、 比 对 。 更 无 法 获取 全 部 数据 ,包括 隐藏 的 和 删除 的 数据 。 

目 视 方法 的 优势 是 检查 门槛 低 。 还 有 一 个 优势 是 总 会 有 工具 或 者 软件 无 法 提取 的 移动 
终端 ,为 了 固定 证 据 , 只 能 采取 目 视 方法 进行 取证 。 目 视 方 法 现在 有 一 些 辅助 工具 ,可 以 利 
用 照相 机 进行 拍照 或 者 摄像 机 进行 摄像 。 例 如 翻拍 台 ,如 图 6.78 所 示 。 

第 二 级 ; 逻辑 分 析 。 通 过 连接 线 ( 通 常 为 USB) .蓝牙 .WiFi 等 方式 与 取证 专用 硬件 或 
软件 连接 。 硬 件 或 软件 工具 调用 通信 协议 与 移动 终端 的 处 理 需 联系 ,处 理 需 在 获取 设备 文 
件 发 送 回去 。 逻 辑 分 析 能 够 恢复 文件 系统 中 的 活动 文件 和 目录 ,包括 通讯 录 、 通 话 记 录 、 短 
信 、 上 网 信息 .照片 .电子 邮件 等 。 但 是 不 能 恢复 在 未 分 配 空 间 的 数据 ,这 就 决定 了 只 有 未 
删除 数据 才能 被 提取 ,同时 逻辑 分 析 获 取 的 数据 量 往往 取决 于 移动 终端 是 否 越狱 。 目 
前 ,大 多 数 移动 终端 取证 工具 都 是 基于 逻辑 分 析 的 ,大 部 分 的 取证 人 员 也 在 从 事 着 逻辑 
分 析 工 作 。 

第 三 级 : 物理 分 析 又 称 为 “十 六 进 制 分 析 ”。 相 比较 前 两 个 分 析 , 它 提供 了 更 多 数据 给 
取证 人 员 。 物 理 分 析 也 需要 物理 连接 ,例如 JTAG 或 者 ISP。 

(1) JTAG(Joint Test Action Group, 联 合 测 试行 动 小 组 ) 是 一 种 国际 标准 测试 协议 
(IEEE 1149. 1 兼容 ) ,原先 设计 的 目的 主要 用 于 芯片 内 部 测试 。 现 在 多 数 的 高 级 硕 件 都 文 
持 JTAG 协议 ,如 DSP、FPGA 希 件 等 。 标 准 的 JTAG 接口 是 4 线 : TMS、 TCK、TDI、 
TDO ,如 图 6.79 所 示 分 别 为 模式 选择 .时钟 .数据 输入 和 数据 输出 线 。 但 是 移动 终端 制造 
商 的 JTAG 却 各 有 定义 ,而 且 不 对 外 公开 。 


图 6.78 ZRT-2 可 视 化 取证 设备 图 6.79 某 主板 的 JITAG 和 定义 
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(2) ISP(In System Programming, 系 统 编程 ) 指 用 户 具 有 在 自己 设计 的 线路 板 上 为 重 
构 逻 和 辑 而 对 逻辑 郑 件 进行 反复 编程 改写 的 能 力 。ISP 是 一 种 工业 标准 。ISP 技术 无 须 改 动 
印 制 电路 板 , 且 在 不 取 下 肯 件 的 情况 下 ,可 直接 在 芯片 上 对 系统 设计 进行 修改 和 编程 。 从 而 
使 硬件 设计 变 得 像 软件 设计 一 样 易于 修改 。 在 ISP 技术 支持 下 ,人 硬件 的 功能 还 可 以 随时 进 
行 重 构 或 升级 。 如 图 6. 80 所 示 , 某 芯片 ISP 针脚 定义 。 

JTAG 和 ISP 分 析 直 接 与 处 理 需 联系 ,或 者 注入 特殊 的 程序 ,利用 程序 接管 系统 的 控制 
权 。 通 过 位 对 位 复制 的 方式 来 获取 数据 的 原始 镜像 。 生 成 的 镜像 是 二 进 制 形 式 , 要 求 取 证 
人 员 拥 有 二 进 制 分 析 的 专业 知识 ,这 种 分 析 方 法 ,原则 上 说 设备 中 的 任何 类 型 的 数据 都 能 够 
锌 恢复 。JTAG 和 ISP 对 于 操作 手法 要 求 非常 高 , 焊 点 出 现 问题 会 对 移动 终端 造成 不 可 逆 
的 损坏 。 

第 四 级 : 芯片 分 析 (Cchip-offt) 。 世 片 分 析 是 将 存储 芯片 脱离 手机 ,直接 对 芯片 本 身 的 电 
路 和 协议 进行 分 析 , 获 取 其 原始 镜像 或 者 相关 数据 的 技术 。 首 先 通 过 精密 拆 焊 台 或 者 热风 
枪 将 手机 存储 芯片 拆 焊 下 来 ,然后 清理 芯片 表面 的 焊锡 ,并 通过 植 珠 模型 ,在 芯片 每 个 金属 
触 点 上 植 上 锡 球 ， 然后 将 芯片 安装 到 芯片 读 取 设备 上 。 

这 种 方法 比 人 工 获取 .逻辑 分 析 ,物理 分 析 更 具 挑 战 。 由 于 芯片 分 析 面 对 类 型 多 样 的 芒 

片 、 大 量 原 始 二 进 制 数 据 和 志 片 拆 缉 损 坏 的 风险 ,因此 对 取证 人 员 的 知识 体系 要 求 比较 高 , 坊 
片 分 析 的 时 间 也 很 长 。 蕊 片 分 析 已 经 成 功 地 在 国内 实战 中 取得 了 成 功 的 案例 ( 见 图 6. 81)。 


LO280O / 390 LO18 


O290D 8 38 口 IO17 
LO300 9 37 口 TO16 
IO31C 36 D IN2/MODE* 
Y0C ISPLSL 1016 35 D YURESET 
VCC C Top View 34D Vcc 
ispEN/NC [ PLCC-44 圭 汇 33 DY2SCLK* 
*SDLINO C 32 D LO15 
IO0 31D TVO14 
IO1 CC 30 口 TO13 
IO2 品 29 口 TO12 


TT 
中 二线 二 人 品 一 
O0000ZZO0O055 
0 DOSSTTEE 
问 
a 
图 6. 80 ”ISP 针脚 定义 图 6. 81 手机 芯片 数据 读 取 设备 


第 五 级 : 微 码 读 取 。 通 过 分 析 心 片上 的 物理 电 平 门限 值 , 取 证 人 员 可 以 将 0 和 1 转换 
为 ASCIH 了 字符。 徽 码 庶 取 仅仅 在 理论 和 试验 阶段 上 进行 探讨 , 离 实 成 应 用 还 有 很 大 距离 ， 
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目前 基本 上 没有 取证 工具 可 以 对 移动 终端 进行 微 码 读 取 。 

2. 移动 终端 取证 常识 

无 论 是 何 种 操作 系统 的 移动 终端 设备 ,在 进行 数据 提取 和 数据 分 析 操 作 之 前 ,都 会 有 很 
多 障碍 产生 ,要 想 最 终 成 功 地 对 这 些 移动 终端 完成 取证 操作 , 则 需要 取证 工作 人 员 首 先 对 这 
些 障碍 进行 扫 清 。 这 就 是 获取 移动 终端 的 访问 权限 。 在 对 移动 终端 进行 取证 之 前 ,首先 要 
了 解 关 于 权限 的 常识 : 

。 解锁 (Unlock): 很 多 运营 商 为 了 限制 用 户 在 购买 自己 的 合约 手机 之 后 ,使 用 其 他 运 
营 商 的 SIM 卡 , 对 出 售 的 手机 加 上 了 网 络 锁 , 只 能 使 用 指定 运营 商 的 SIM 卡 , 这 就 
是 “网 络 锁 ?。 解 锁 就 是 指 去 除 运 营 商 对 手机 等 设备 的 网 络 锁 , 从 而 使 用 任意 其 他 
运营 商 的 SIM 卡 和 手机 号 码 。 解 锁 针 对 的 设备 是 有 网 络 锁 的 iOS 设备 ,比如 
AT 点 工 的 iPhone 或 者 3G 版 的 iPad。 
越狱 (Jailbreak): 利用 系统 漏洞 将 iPhoney/iPad 设备 中 的 操作 权限 做 出 更 改 , 突 破 
苹果 官方 的 限制 。 越 狱 后 的 10S 设备 不 能 通过 iTunes 升级 ,否则 会 被 锁定 。 
Root: 存在 于 Android 系统 中 ,超级 用 户 一 般 命 名 为 root。root 是 系统 中 唯一 的 起 
级 用 户 。 获 取 root 权限 意味 着 拥有 系统 中 所 有 的 权限 。 

越狱 和 root 对 于 取证 来 说 ,也 是 非常 重要 的 。 越 狱 或 root 后 ,可 以 访问 到 用 户 目 录 以 
外 的 目录 ,例如 系统 目录 ,可 以 获取 更 多 的 信息 。 
6.5.S 移动 终端 取证 的 流程 

移动 终端 取证 借鉴 了 传统 计算 机 取证 的 流程 。 但 是 由 于 移动 终端 具有 和 集成 度 高 .数据 
动态 化 等 特点 ,在 取证 的 各 个 流程 中 ,针对 不 同情 况 , 会 有 不 同 的 取证 方法 。 按 操作 系统 分 
类 ,以 10S 和 Android 为 例 ,移动 终 疹 的 取证 流程 基本 分 为 以 下 流程 : 

(1) IOS 系统 取证 基本 流程 ( 见 图 6. 82) 


图 6.82 iiOS 设备 取证 的 一 般 模型 


对 iOS 设备 进行 数据 提取 ,首先 要 保证 取证 平台 安装 有 iTunes; 其 次 ,在 取证 工具 识别 
iOS 设备 的 过 程 中 ,设备 的 屏 禹 要 保证 屏 顷 锁 已 经 打开 ,否则 会 导致 软 件 无 法 识别 10S 设 
备 。 当 设备 被 识别 到 之 后 ,取证 工具 就 可 以 借助 于 iTunes, 以 提取 设备 中 文件 系统 备份 的 
形式 来 完成 数据 提取 操作 ,并 在 之 后 对 提取 到 的 数据 做 分 析 。 

(2) Android 系统 取证 基本 流程 ( 见 图 6. 83) 

目前 大 部 分 取证 工具 对 Android 终端 进行 的 取证 操作 草 循 这 个 步 野 : 当 手 机 终端 与 取 
证 工作 站 连接 之 后 ,首先 局 动 相应 的 软件 平台 ,然后 激活 相应 的 数据 提取 回 导 来 连接 手机 终 
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权限 获取 


6.83 Android 终端 取证 的 一 般 模型 


端 , 当 目 的 终端 被 软件 检测 到 之 后 , 即 可 根据 软件 所 提示 的 步骤 进行 权限 获取 操作 ,权限 获 
取 完 成 之 后 , 即 可 进行 数据 提取 操作 。 

提取 完 手 机 中 的 数据 之 后 ,手机 取证 工具 会 对 重要 数据 进行 自动 分 析 展 示 , 有 的 手机 取 
证 工具 会 对 提取 到 的 所 有 数据 进行 归 类 整合 ,以 方便 取证 人 员 在 提取 到 的 所 有 数据 中 做 更 
深入 的 数据 分 析 ,使 得 最 终 的 取证 操作 达到 更 好 的 效果 。 

具体 来 说 ,移动 终端 取证 的 流程 有 以 下 注意 事项 : 

1. 现场 勘 验 阶段 

由 于 数字 移动 终端 的 特殊 性 ,对 于 发 现 的 数字 移动 终端 ,要 采取 不 同 于 传统 计算 机 犯罪 
现场 勘 验 的 手段 进行 处 理 。 这 plot 
的 专业 知识 相对 有 限 , 因 此 提取 和 封存 时 需要 注意 以 下 事项 : 

(1) 首先 确认 获取 的 easy 和 是 安全 的 。 某 些 案件 中 ,手机 是 作为 引爆 
锅 使 用 的 。 

(2) 执法 人 员 必 须 了 解 乔 能 设备 的 数据 恢复 首先 依赖 于 SQLite 数据 库 文件 的 存在 与 
否 , 因 此 , 当 竺 取证 的 移动 终端 经 过 了 刷机 操作 ,恢复 出 广 设置 或 者 因为 其 他 一 些 不 可 预 佑 
的 操作 而 导致 这 些 数据 对 应 的 数据 库 遭 到 破坏 或 者 重 置 时 ,所 有 的 信息 ,包括 现 有 数据 和 已 
删除 数据 都 会 丢失 。 因 此 ,基于 SQLite 数据 库 的 移动 终端 出 除数 据 恢复 ,最 重要 的 前 提 就 
是 数据 库 文件 本 号 未 遭 到 破坏 ; 其 次 ,删除 数据 的 恢复 需要 考虑 到 数据 库 被 写 入 的 频率 。 
例如 一 个 用 户 使 用 Android 终端 接收 短信 息 ,并 将 之 删除 , 且 之 后 接收 短信 息 的 频率 很 高 ， 
导致 已 删除 信息 在 SQLite 数据 库 中 所 占用 的 自由 区 最 终 被 分 配 用 来 存储 新 的 数据 ,使 得 原 
有 被 删除 信息 覆盖 多 次 。 因 此 ,站 在 取证 角度 , 待 检 手 机 终端 在 没有 进行 手机 取证 操作 之 
前 ,应 将 其 放置 在 手机 信号 屏蔽 箱 中 ,如 果 没 有 相应 的 信号 屏蔽 设备 , 则 在 手机 取证 操作 之 
前 , 待 检 手 机 应 当 采 取 关 机 处 理 , 取 证 过 程 中 应 当 将 手机 SIM 卡 移出 ,将 手机 本 身 和 SIM 
卡 分 别 做 取证 操作 ,避免 在 竺 取证 过 程 中 ,手机 接收 新 的 数据 进入 ,从 而 最 大 限度 地 保持 手 
机 初始 状态 不 发 生 改 变 。 

(3) 在 移动 终端 取证 中 ,有 一 个 不 可 忽视 的 问题 ,就 是 移动 终端 如 同 计算 机 一 样 , 只 是 
人 类 的 一 种 工具 。 如 果 不 加 以 佐证 的 话 ,将 无 法 将 移动 终端 与 使 用 人 联系 起 来 。 也 就 是 虚 
拟 信息 与 物理 身份 需要 证 据 来 关联 。 取 证 人 员 即 使 从 移动 终端 中 提取 了 所 有 数据 ,但 是 无 
法 证 明 嫌 疑 人 是 这 部 移动 终端 的 使 用 者 。 那 么 证 据 就 与 嫌疑 人 失去 关联 。 因 此 需要 通过 物 
证 ,书证 形式 来 证 明 嫌 疑 人 与 移动 终端 的 关系 。 例 如 ,讯问 嫌疑 人 “这 是 你 的 手机 吗 ?”, 如 果 
嫌疑 人 承认 ,那么 需要 在 笔录 中 记录 ,如 果 嫌 疑 人 否认 ,就 需要 记录 手机 存放 的 位 置 、. 状态。 
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例如 在 其 家 中 、 和 车 中 , 那 就 使 手机 与 嫌疑 人 的 关联 度 大 大 增加 。 

(4) 在 提取 移动 终端 之 前 ,需要 确认 是 否 需要 提取 指纹 (如 果 设 备 锁定 ,指纹 可 以 辅助 
确定 锁定 密码 )、DNA 等 传统 证 据 。 

(5) 如 果 步 又 3 不 需要 执行 ,应 首先 进入 "设置 ?中 ,将 “自动 锁定 > 和 ”密码 ”( 或 “图 形 
销 ”) 取 消 。 DT 这 些 步 又 都 会 引起 数据 改变 ,但 是 这 
些 数据 改变 不 足以 影响 移 动 终 端 数据 的 客观 性 。 这 些 设 置 需 要 记录 每 一 步 的 步骤 ,包括 设 
备 的 状态 描述 .更 改动 机 和 更 改 的 结果 ,以 备 日 后 法 庭 质证 需要 。 

(6) 移动 终端 大 多 都 具备 网 络 数据 传输 功能 。 控 制 移 动 终 问 后 ,根据 需要 决定 是 否 对 
其 进行 信号 屏蔽 。 因 为 由 于 侦查 需要 ,很 多 嫌疑 人 被 控制 后 ,还 需要 利用 其 移动 终端 与 其 关 
系 人 (例如 同伙 ) 进 行 联系 。 这 些 都 需要 记录 在 案 并 问 取 证 人 员 说 明 。 需 要 着 重 指 出 的 是 ， 
如 果 在 控制 设备 时 ,有 可 能 此 移动 终端 会 被 远程 锁定 或 者 擦 除 ( 例 如 iPhone 的 “ 找 回 我 的 
iPhone” 功 能 ) 。 如 果 有 这 种 可 能 ,那么 需要 立刻 屏蔽 信和 号 。 

(7) 在 提取 数字 移动 终端 时 ,必须 同时 提取 与 其 配套 的 电源 、 充电 需 、 与 计算 机 的 连接 
设备 .配套 的 光盘 。 

(8) 数字 移动 终端 需要 电能 维持 其 运行 ,必须 留 前 使 用 的 电池 的 电量 ,如 果 电 量 
过 低 ,应 当 给 予 充 电 。 

(9) 应 向 其 使 用 者 询问 解锁 口令 ,PIN 码 .PUK 码 , 应 用 程序 的 功能 等 相关 信息 。 注 意 
搜寻 与 其 相关 的 SIM 卡 ,存储 卡 等 介质 。 

(10) 移动 终 病 的 检查 重点 还 有 同步 过 的 计算 机 设备 ,这 些 计算 机 上 往往 保存 有 同步 效 
据 ,例如 通讯 录 ,短信 等 。 一 旦 手机 损坏 或 着 数据 丢失 ,通过 同步 数据 ,还 可 以 获得 很 多 重要 
信息 。 

(11) 需要 提取 其 他 与 电子 数据 相关 的 证 据 。 例 如 写 在 纸 片 上 的 密码 。 

(12) 封存 和 运输 时 应 注意 防震 ,防水 、 防 静电 ,信号 屏蔽 和 持续 供电 。 

2. 检验 鉴定 阶段 

(1) 确认 设备 是 否 关 机 。 设 备 有 可 能 处 于 待机 状态 或 恢复 模式 。 应 当 了 解 这 些 模 式 的 
机 制 。 防 止 处 理 不 当 ,导致 数据 丢失 。 如 果 设 备 已 经 关机 ,原则 上 不 允许 重新 开机 ,因为 重 
新 开机 数据 被 履 盖 的 可 能 性 较 大 。 除 非 其 他 方法 都 无 法 获取 数据 , 才 人 允许 开机 进行 人 工 
检索 。 

(2) 保证 设备 电量 能 够 满足 取证 需要 ,最 好 使 用 连接 线 为 设备 持续 充电 。 因 为 未 些 取 
证 工作 需要 设备 “越狱 ,而 如 果 电 量 过 低 ,越狱 有 可 能 失败 ,导致 移动 终端 无 法 局 动 。 

(3) 取证 移动 终端 的 全 部 过 程 时 ,除非 有 必要 ,都 应 该 对 移动 终端 进行 信 叶 隅 离 , 例 如 

号 屏蔽 盒 或 者 开启 主动 屏蔽 设备 ,如 图 6. 84 所 示 , 防 止 通 信和 数据 覆盖 之 前 的 信息 。 如 果 
没有 此 类 设备 ,将 设备 设置 为 “飞行 模式 ”. 

(4) 移动 终端 的 安全 机 制 首 先是 开机 密码 或 者 图 形 锁 。 需 要 询问 现场 勘 验 人 员 或 者 侦 
查 人 员 是 否 了 解 或 记录 密码 或 者 图 形 锁 。 如 果 无 法 知道 开机 密码 和 图 形 锁 ,iPhone 4 以 下 
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图 6. 84 信号 屏蔽 袋 和 屏 责 盒 


版 本 的 苹果 手机 和 Android 手机 可 以 使 用 工具 软件 获取 密码 或 者 图 形 锁 。 

(5) 获取 移动 终端 的 数据 并 按照 以 下 顺序 进行 分 析 : 系统 信息 、 使 用 信息 .通信 信息 
(通话 记录 和 短信 ) 社交 信息 (QQ 、 微 信 等 ) .交通 地 理 信 息 (GPS .基站 等 )。 
6.5.6 移动 终端 取证 实战 

移动 终端 的 取证 对 象 是 手机 中 的 电子 数据 以 及 这 些 电 子 数据 呈现 出 来 的 行为 。 这 些 电 
子 数据 反映 出 移动 终端 使 用 者 通过 移动 终端 所 建立 的 关系 网 络 以 及 所 做 的 各 种 过 往 历 史 行 
为 。 这 其 中 就 包含 了 电话 籍 、 通 话 记 录 、 短 信 记 录 、 第 三 方 应 用 程序 用 户 数 据 等 ,也 包含 了 被 
删除 的 数据 ,如 图 6. 85 所 示 。 


图 6.85 移动 终端 取证 的 基本 对 象 


移动 终端 取证 需要 了 解 设 备 的 类 型 ,型 写 ; 数据 存储 的 物理 方式 (存储 介质 )、 他 辑 方式 
文件 系统 ) 以 及 文件 结构 ,并 且 能 够 将 非 结构 化 数据 解码 为 可 视 化 数据 。 

目前 移动 终端 取证 可 以 获取 以 下 (但 不 限于 ) 信 息 : 

(1) 网 络 即时 通信 信息 。 此 类 信息 包括 QQ、 币 信 、 飞 信 、 易 信 、 阳 阳 等 信息 。 文 持 提 取 
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联系 人 、 聊 天 记录 、 群 信息 、 群 成 员 列 表 、 群 聊天 记录 等 信息 ; 
(2) 微 博 类 信息 。 此 类 信息 包括 新 浪 微 博 、 腾 讯 微 博 等 信息 ; 
(3) 上 网 记录 信息 。 此 类 信息 包括 使 用 人 利用 GPRS、3G 上 网 方式 保存 的 浏览 记 


(4) 电子 邮件 信息 。 此 类 信息 包括 使 用 人 通过 手机 等 移动 终端 收发 电子 邮件 保存 的 
信息 ; 


(5) 网 络 交易 信息 。 此 类 信息 包括 网 络 购物 、 网 上 缴费 .网 银 交 易 信 息 ; 

(6) 交通 信息 。 此 类 信息 包括 滋 坐 飞机 、 动 车 .轮船 .汽车 等 公共 交通 工具 的 登记 和 来 
坐 记 录 ; 

(7) 地 理 位 置信 息 。 某 些 软 件 , 例 如 地 图 导航 工 具 , 记 录 使 用 人 的 GPS 移动 信息 。 还 
有 WiFi 的 位 置信 息 ; 

(8) 日 程 信息 ; 

(9) 就 医 问 诊 信息 ; 

(10) 设备 和 账户 信息 。 此 类 信息 包括 使 用 人 保存 的 文档 .账户 等 信息 ; 

(11) 机 号 存储 删除 数据 的 恢复 ; 

(12) WiFi、 蓝 牙 连接 记录 : 

(13) 用 户 行为 信息 。 包 括 搜 索 狠 迹 . 运 行 痕 人 迹 、 文 档 打 开 编 辑 雏 人迹、 打印 痕迹 .视频 播 
放 狠 迹 、 和 输入 法 的 动态 字典、 备 乐 录 等 等 ; 

(14) 照片 .语音 和 视频 。 使 用 iPhone 拍照 的 照片 内 舱 有 GPS 信息 ; 

(15) 交友 婚介 信息 ; 

(16) 传统 三 类 通信 信息 。 此 类 信息 包括 通讯 舌 .通话 记录 ,短信 (彩信 ); 

(17) 其 他 对 于 侦查 和 取证 工作 有 利 的 信息 。 

1. iOS 取证 

笠 果 的 移动 终 问 除了 iPhone 和 iPad 外 ,还 有 iPod、iPod Shuffle、iPod nano 、iPod 
touch。 对 于 移动 终 闪 的 取证 ,iPhone 和 iPad 是 主要 的 目标 。 

(1) iOS 设备 的 连接 : 

iOS 设备 以 iPhone 为 例 。iPhone 的 管理 工具 除了 官方 的 iTunes 之 外 ,还 有 众多 的 第 
三 方 管 理工 具 , 例 如 iFunBxo iToos 等 。 这 些 工 具 对 于 系统 目录 和 用 户 目 录 的 显示 都 做 了 
一 些 调整 。 因 此 使 用 命令 行 的 方式 来 访问 iOS 设备 是 了 解 iOS 系统 结构 的 最 佳 方法 : 

Ji 首先 要 求 iPhone 设备 已 经 越狱 ,安装 Cydia、OpenSSH、MobileTerminal 程序 。 

@ 建立 无 线 连接 。 保 证 获取 设备 和 被 获取 设备 在 同一 局 域 网 内 。 同 时 知道 双方 的 JIP 
地 址 。 例 如 获取 设备 为 MACBOOK(IP 地 址 为 192. 168. 1. 5) ,被 获取 设备 为 让 hone 5(1P 
地 址 为 192. 168. 1. 4) 。 

3 在 获取 设备 上 运行 终端 程序 ,对 于 大 多 数 越狱 手机 来 说 ,root 默认 的 密码 为 
“alpine”。 在 终端 程 订 中 输入 “ssh root 四 192. 168. 1. 4。 运行 “cd /后 回 到 根 目 录 。 上 再 运 


haoyang=-de=-iPhone':w root# Cc 


haoyang-de-iPhone:/ root# ls -1 


d/ 


行 “ls -1” 就 可 以 看 到 整个 目录 结构 了 ( 见 图 6. 86)。 
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total 578 
lrwxr-xr-x 1 root admin 36 Jan 18 13:10 Applications -> /var/stash/Applicat 
ions.505180/ 
drwxrwxr=-x 2 root admin 68 Aug 14 13:47 Developer/ 
drwxrwxr-x 28 root admin 918 Jan 18 14:05 Library/ 
drwxr-xr-x 3 root wheel 102 Aug 14 15:50@ System/ 
lrwxr=xr=x 1 root admin 11 Feb 9 23:12 User -> /war/mobile/ 
drwxr-xr-x 2 root wheel 2006 Jan 18 13:44 bin/ 
drwxr-xr-x 2 root admin 68 Sep 8 1994 boot/ 
drwxrwxr-t 2 root admin 68 Aug 14 13:86 | 
dr=xr=xr=x 3 root wheel 1239 Feb 9 23:12 dev/ 
lrwxr=xr=x 1 root admin 11 Oct 13 13:39 etc -> private/etc/ 
-TWxXr-Xr-Xx 1 root admin 557856 Jan 18 13:07 evasiOn7* 
-TW-r--r-— 1 root admin 0 Jan 18 13:88 evasi0n7-installed 
drwxr-xr-x 2 root admin 68 Mar 9 1991 1\ib/ 
drwxr=xr=x 2 root admin 68 Jan 2 1970 mnt/ 
drwxr-xr-x 4 root wheel 136 Oct 23 15:18 private/ 
drwxr=-xr=-x 2 root wheel 1326 Jan 18 13:4]1 sbin/ 
lrwxr=-xr=-x 1 root admin 15 Oct 13 13:39 tmp -> BWORE EO/ 
drwxr=xr=x 9 root wheel 374 Jan 18 13:1]1 USF/ 
lrwxr-xr-x 1 root admin 11 Oct 13 13:39 Var -> private/var/ 
haoyang-de-iPhone:/ root# 国 

图 6.86 root 目录 


(2) 文件 系统 

iOS 的 文件 结构 类 似 于 UNIX/Linux。 由 于 10S 设备 普 抽 没有 使 用 外 置 存 储 , 均 在 电 
路 上 固化 存储 ,因此 其 文件 结构 都 使 用 了 HEFSX 文件 系统 。 

HFSX 文件 系统 是 HFS 十 文件 系统 的 变形 ,二 者 唯一 的 不 同 是 HFSX 区 分 大 小 与 。 例 
如 “DalianWangan” 和 “dalianwangan” 是 截然 不 同 的 两 个 名 字 ,都 是 合法 的 。 

iOS 中 ,分 区 可 以 分 为 硬盘 和 子 区 块 (Slice), 子 区 块 类 似 于 Windows 操作 系统 的 分 区 ， 
用 于 建立 文件 系统 。/Private/etc/fstab 文件 记录 了 文件 系统 。 

fstab 内 容 : 

/dev/diskOslsl / hfs ro 0 1 

/dev/ disk0s1s2 /private/var hfs rw 0 2 

fstab 说 明 iPhone 中 只 有 一 个 便 盘 disk0, 挂 载 了 了 Disk0slsl (只 读 的 HFX 卷 ); 
disk0sls2( 可 读 写 的 HFX 卷 ) ,系统 分 区 是 disk0slsl, 这 个 卷 挂 载 在 /目录 下 ,用 于 存放 
iOS 的 操作 系统 文件 和 系统 应 用 程序 (例如 MobileMail, MobileSafari) 的 。 数 据 分 区 是 
disk0sls2 ,这 个 卷 挂 载 在 "/private/var ”目录 下 ,主要 存储 第 三 方 应 用 程序 和 下 载 的 文件 。 
从 此 可 以 得 知 ,除非 越狱 ,否则 系统 分 区 (disk0slsl) 不 会 增加 数据 ,因此 系统 分 区 
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(disk0sls1) 其 中 的 信息 ,对 于 取证 的 意义 不 大 。 而 数据 分 区 (disk0sls2) 其 中 的 数据 对 于 取 
证 是 信息 丰 定 的 数据 库 。 
iOS 文件 系统 可 以 使 用 WinSCP(Windows 系统 ) 或 者 Fugu(Mac OS X) 工 具 查 看 。 
需要 注意 的 是 ,早期 的 10S 设备 可 以 镜像 ,最 新 的 10S 设备 已 经 无 法 进行 镜像 。 
(3) iOS 文件 目录 
iOS 文件 目录 包括 多 个 目录 ,每 个 目录 的 作用 都 不 同 , 如 表 6. 37 所 示 。 
表 6.37 iOS 文件 目录 结构 


目录 名 称 描 述 
Application 链接 至 /vary/stacsh 目录 
etc 链接 至 /private/etc 
Tmp 合 一 个 链接 
User 含 一 个 链接 
Var 链接 至 /private/var 
Damaged files 可 能 包含 前 次 越狱 的 痕迹 
Bin 人 包含 一 个 可 执行 命令 ,Launchetl 
Cores 室 目 采 
Dev 空 目 采 
Developer 空 目 采 


总 与 OS X 系统 一 同 存在 ,包含 系统 插件 和 设置 
Application support: 蓝牙 型 号 和 PIN 码 
Audio: 包含 音频 插件 
Caches: 空 目录 
File systems: 空 目 录 
Internet Plug-Ins: 空 目 录 

Library LaunchAgents: 空 有 目录 
LaunchDaemons: 空 目 录 
Managed Preferences: 链接 至 Mobile 目录 
Printers: 至 目录 
Ringtones: 包含 系统 预 装 的 铃声 
Updates: 至 目录 
Wallpaper: 包含 一 些 PNG 文件 和 缩 略 图 (无 证 据 价 值 ) 
包含 etc 和 Var 目录 


private etc: 包含 fstab, master. passwd，passwd 文件 (同时 包含 master 和 passwd: same) 
Var: 空 

Sbin 包含 命令 行程 序 

_ 包含 系统 设置 等 ,如 

System 


/Systemy/Library/CoreServices/ SystemVersion. plist: 固件 版 本 
Usr 包含 更 多 的 命令 行程 序 和 时 区 数据 
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其 中 Private/var/mobile 中 保存 了 大 量 用 户 数据 ,是 取证 值得 重点 关注 的 目录 ,如 


表 6. 38 所 示 。 


路 径 
Private/ var/ mobile/ 
Library/ Preferences 
Private/ var/ mobile/ Library/ 


Carrier Bundles 


Private/ var/ mobile/ 
Library/ Caches 


Private/ var/ mobile/ Application 


Private/ var/ mobile/ 
Library/ AddressBook 
Private/ var/ mobile/ 
Library/ Calendar 
Private/ var/ mobile/ 
Library/ ConfigurationProfiles 
Private/ var/ mobile/ 
Library/ Cookies 
Private/ var/ mobile/ 
Library/ DataAccess 
Private/ var/ mobile/ 
Library/ Keyboard 
Private/ var/ mobile/ 
Library/ Logs 
Private/ var/ mobile/ 
Library/ Mail 

Private/ var/ mobile/ 
Library/ Maps 
Private/ var/ mobile/ 
Library/ Mobileinstallation 
Private/ var/ mobile/ 
Library/ Notes 
Private/ var/ mobile/ 
Library/ Safari 


表 6.38 Private/var/mobile 目录 结构 


系统 和 用 户 设 置 


carrier. plist: 运 营 商 信息 
数据 缓冲 信息 例如 com. apple. mobile. 


installation. plist 保存 的 是 1i0S 设备 系统 程序 和 
用 户 程序 。 其 中 用 户 应 用 程序 的 Container 指向 
Private/ var/ mobile/ Application 

用 户 应 用 程序 。 每 个 应 用 程序 都 有 一 个 唯一 标 
识 ,此 标识 在 任何 设备 上 部 是 一 样 的 


联系 人 和 联系 人 头像 


系统 功能 控制 信息 ,例如 是 否 人 允许 摄像 头 开局 


互联 网 cookies 


邮件 账户 设置 信息 


系统 输入 法 用 户 词 典 


日 志文 件 


电子 邮件 信息 ,其 中 的 账户 信息 指 回 邮件 存放 位 
置 。Metadata. plist 记录 了 邮箱 发 送 的 最 后 时 间 


地 图 信息 Bookmarks. plist Directions. mapsdata- 
History. mapsdata Mapsdata 使 用 UTF8 编码 

UninstalledApplications. plist 记录 了 曾经 和 凤 载 过 
的 程序 


便签 ,可 以 与 gmail 同步 


safari 浏览 船 信 息 。Bookmarks. db( 收 藏 夹 ) 


SearchEngines. plist( 搜 索引 擎 ) 


Plist 


Plist 


Plist 


Plist; SQLite 


SQLite 


SQLite 


SQLite 


Plist 


Plist 


Dat 


Plist; emlx 


Plist; mapsdata 


Plist 


Plist 


Plist; SQLite 
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路 径 
Private/ var/ mobile/ 
Library/ SMS 
Private/ var/ mobile/ 
Library/ Voicemail 
Private/ var/ mobile/ 
Library/ WebKit 
Private/ var/ mobile/ 
Media/ DCIM 
Private/ var/ mobile/ 
Media/ PhotoData 
Private/ var/ mobile/ Media/ 


iTunes_ Control 


其 他 的 相片 信息 和 缩 略 图 


iTunes 同步 的 音乐 和 视频 


Private/ var/ mobile/ 


iBookstore 和 同步 的 书籍 、PDF 
Media/Books iBookstore 和 同步 的 书籍 


Private/ var/ root/ Library/ 
Caches/locationd 
Private/var/, networkd 
Private/ var/ wireless/ 


Library/ Databases 


GPS 定位 信息 。Consolidated. db 文件 记录 了 近 
期 GPS 定位 信息 
应 用 程序 的 网 络 使 用 信息 。netusage. sqlite SQLite 


Plist; SQLite 


应 用 程序 的 硬盘 占用 信息 。DataUsage. sqlite SQLite 


在 10S6 之 后 , 男 一 个 更 为 重要 的 通话 记录 数据 从 Private/var/wireless/Library 目录 
下 转移 Private/ var/ Wireless 目录 下 保存 ,如 表 6. 39 所 示 。 


表 6. 39 Private/var/Wireless 的 通话 记录 目录 结构 


Private/var/ Wireless/ Library/ Call History 通话 记录 SQLite 


(4) 文件 数据 格式 

plist 文件 

属性 列表 (Property List) 文 件 是 一 种 用 来 存储 串 行 化 后 的 对 和 象 的 文件 。 属 性 列表 文件 
的 文件 扩展 名 为 . plist, 因 此 通常 被 称 为 plist 文件 。plist 在 OS X 系统 一 般 用 于 存储 配置 
信息 。Apple 提供 了 “Property List Editor” 应 用 程序 (作为 Apple Developer Tools 的 一 部 
分 ) , 它 是 一 个 树 状 的 查看 冀 与 编辑 冀 , 并 可 以 处 理 二 进 制 格 式 的 plist。 

SQLite 

SQLite, 是 一 款 轻型 的 数据 库 ,是 遵守 ACID 的 关系 型 数据 库 管 理 系统 , 它 的 设计 目标 
是 艇 入 式 的 。 它 占用 的 资源 非常 少 , 在 租 入 式 设备 中 ,可 能 只 需要 几 白 “K” 的 内 存 就 够 了 。 
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它 能 够 支持 Windows/Linux/UNIX 等 等 主流 的 操作 系统 ,同时 能 够 跟 很 多 程序 语言 相 结 
合 , 比 如 Tcl.C# .PHP、Java 等 ,还 有 ODBC 接口 ,同样 比 起 Mysql、PostgreSQL 这 两 款 开 
源 世 界 著 名 的 数据 库 管 理 系 统 来 讲 , 它 的 处 理 速度 比 他 们 都 快 。SQLite 目前 最 新 版 本 是 
SQLite 3。iOS 和 Android 都 使 用 SQLite 作为 系统 和 应 用 程序 的 数据 库 使 用 。 

plist 文件 和 SQLite 数据 库 都 可 以 存储 数据 ,但 是 基于 SQLite 数据 库 的 数据 存储 更 适 
合 进 行 信息 数目 比较 大 的 数据 存储 ,并 且 查 看 调用 也 更 加 迅速 和 方便 。 这 也 就 是 为 什么 在 
众多 第 三 方 手机 APP 应 用 程序 中 ,程序 开发 者 倾 问 于 使 用 SQLite 数据 库 来 存放 短信 息 、 通 
话 记 录 、 即 时 聊天 记录 等 内 容 的 原因 。 但 是 plist 文件 也 有 其 重要 的 作用 ,plist 文件 通常 被 
用 来 存放 一 些 相对 比较 固定 的 信息 ,例如 在 IOS 版 QQ 中 ,QQFriendList. plist 用 来 存储 好 
友 的 上 昵称、 真实 姓名 、QQ 号 码 、 签 名 以 及 性 别 .年 龄 等 信息 ,如 图 6. 87 所 示 。 


栖 QQFriendList.plist - Oygen Forensic Plist Viewer 


| Ble Wew Tools Halp 


om 四 se=.… | vew mode - 0 Hep 


5, 
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1 
男 
1, 
员 
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1. 
和 | 
下 | 
下 | 
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| 


5，。 seg = "生活 一 丰 是 回忆 站 是 姓 读 维 纺 不 FA | 国 - 姑 -加 -村 了 咖 - 国 上 是 一 小 园 
匡 " 


图 6.87 QQFriendList. plist 文件 中 记录 的 信息 


将 QQFriendList. plist 与 存储 有 QQ 聊天 记录 的 QQ. db 数据 库 联 合 进 行 查找 ,就 可 以 
确定 每 一 条 聊天 记录 所 涉及 的 对 象 ,使 得 对 QQ 聊天 记录 的 解析 展示 得 更 好 。 

(5) 时 间 格 式 

iOS 一 般 使 用 两 种 时 间 格 式 : 

C/UNIX 时 间 (UNIX epoch) ,或 称 POSIX 时 间 , 是 UNIX 或 类 UNIX 系统 使 用 的 
时 间 表 示 方 式 。 是 从 协调 世界 时 (UTC)1970 年 1 月 1 日 0 时 0 分 0 秒 起 至 现在 的 总 秒 数 
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(不 包括 国 秒 )。 

OSX 时 间 , 相 对 于 C/UNIX 时 间 (UNIX epoch), 唯 一 的 不 同 是 从 协调 世界 时 
(UTC)2001 年 1 月 1 日 0 时 0 分 0 秒 起 至 现在 的 总 秒 数 ( 不 包括 疾 秒 )。 因 此 与 C/UNIX 
时 间 (UNIX epoch) 相 差 31 年 。 

在 解析 iOS 的 时 间 时 ,OS X 时 间 可 以 利用 C/UNIX 时 间 的 工具 进行 解析 ,换算 时 增加 
31 年 即 可 。 需 要 注意 的 是 ,换算 时 需要 将 协调 世界 时 CUTC) 加 上 8 小 时 转换 成 中 国标 准时 
间 (CUTC 十 8) 。 

(6) 取证 实例 

文件 中 提取 的 元 数据 通过 碰撞 、 比 对 ,可 以 获得 更 多 信息 ,这 就 是 个 数据 挖掘 的 过 程 。 
例如 通过 照片 中 的 时 间 惟 和 微 信 中 的 时 间 戳 ,可 以 知道 这 张 照 片 发 送 给 了 谁 ; 通过 照片 中 
的 GPS 定位 信息 ,可 以 确定 移动 的 基本 轨迹 。 

J ioOs 取证 准备 工作 

首先 ,要 确定 设备 的 型 号 和 iOS 版 本 ,以 便 选 择 合适 的 取证 方法 和 取证 工具 。 尽 管 设 
备 名 称 一 致 ,但 是 其 型 号 却 决定 了 它 具 备 什 么 功能 ,例如 iPhone 4 分别 有 联通 版 和 电信 版 ; 
iPhone 5S 的 A1528 和 A1530 的 区 别 为 是 否 文 持 4G。 简 多 的 方法 是 查看 设备 衣 面 的 编号 ， 
上 网 查询 其 设备 类 型 。 设 备 在 使 用 过 程 中 ,iOS 可 能 会 有 多 次 升级 ,如 果 设 备 处 于 开机 无 锁 
状态 ,在 “设置 ”一 “关于 ”一 “版 本 ”中 就 能 看 到 1OS 版 本 。 

其 次 ,iOS 系统 在 设计 之 初 就 特别 强调 其 高 安全 性 的 特点 ,运行 在 10S 系统 中 的 每 一 个 
应 用 程序 都 必须 拥有 合法 的 签名 和 授权 ,并 被 分 配 了 独立 的 内 存 空间 。 类 似 于 沙 箱 机 制 ， 
iOS 系统 不 允许 任何 一 球 软 件 突 破 有 目 号 的 运行 空间 ,把 日 己 的 进程 运行 到 其 他 程序 的 空间 
中 去 ,因此 ,这 种 安全 机 制 的 存在 使 得 任何 蠕虫 病毒 或 者 木马 均 无 法 在 10S 系统 中 存活 。 
但 同时 ,取证 工具 的 使 用 也 受到 限制 ,获取 的 数据 有 限 。 同 时 , 当 设 备 被 屏 各 密 人 码 锁 闭 , 并 且 
无 法 知道 密码 时 , 则 需要 先 对 屏 磊 密码 进行 破解 ,而 破解 屏 锋 密码 就 必须 先 要 求 设 备 越狱 之 
后 ,才能 利用 相应 的 工具 对 密码 进行 解除 。 那 么 要 获取 完整 的 数据 有 两 个 前 提 : 越狱 和 绕 
过 屏 形 密码 。 

再 次 ,很 多 取证 工具 需要 借助 1Tunes 工具 ,因此 需要 将 iTunes 升级 为 适用 版 本 。 如 果 
版 本 不 对 ,计算 机 将 无 法 识别 移动 终端 。 

最 后 ,准备 适合 的 取证 工具 。 移 动 终 闪 的 多 样 性 使 得 开发 一 种 适用 于 全 部 系统 的 数 
字 证 据 分 析 工 具 非 党 困难。 很 多 软件 只 能 针对 一 种 或 者 几 种 数字 移动 终端 分 析 。 对 于 
其 他 的 数字 移动 终端 驶 无 能 为 力 。 而 且 对 于 相同 手机 操作 系统 的 取证 软件 ,其 识别 的 内 
容 .分 析 的 结果 也 不 尽 相 同 。 因 此 有 必要 将 多 种 软件 结合 使 用 、 交 义 验证。 目前 公认 的 具 
有 和 针对 数字 移动 终端 取证 的 取证 软件 有 Celebrite、Oxygen Forensic、XRY 、DC4500、 
SafeMobile 等 。 
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取证 实例 

a. 通信 信息 

通信 信息 除了 通讯 录 、 通 话 记 录 、 短 信 , 还 有 新 型 的 QQ、 微 信阳 卫 等 网 络 通信 工具 。 
通信 信息 中 包含 重要 的 线索 ,是 重点 取证 的 对 象 。 通 信和 信息 工具 一 般 使 用 SQLite 和 Plist 
来 存储 信息 。 以 通话 记录 为 例 , 通 话 记 录 文 件 的 存储 位 置 在 /private/var/wireless/Library/ 
CallHistory/ (以 iPhone5 10S7.04; iPhone3GS 1O0S6. 1. 3 为 例 ) 中 ,文件 名 为 “Call_history. 
db”。mobile/Library/Callhistory 目录 中 。 存 储 形式 为 SQLite3 数据 库 文 件 格式 。 可 以 使 
用 SQLite Database Browser 程序 查看 。 通 话 记 录 一 般 设 置 为 100 条 ,超过 100 条 后 , 旧 的 
数据 将 被 删除 。 某 些 软 件 可 以 扩展 通话 记录 的 条 数 ,例如 KuaiDial 可 以 将 通话 记录 保存 
10000 条 。 

通话 记录 的 数据 库 基本 有 6 个 表 ( 见 图 6.88) ,通话 记录 数据 库 中 ,对 于 取证 最 为 有 用 
的 两 个 表 是 “SqliteDatabaseProperties” 和 “call”,“ SqliteDatabaseProperties” 记 录 的 是 配 
置信 息 “callj” 中 记录 的 是 通话 记录 信息 ,包括 电话 号 码 . 通话 时 长 .所 入 拨 出 标识 等 重要 信 
息 。 使 用 开源 工具 SQLite Database Browser 来 查看 “Call history. db” 数 据 库 的 内 容 , 如 
6. 88、 表 6. 40 和 表 6. 41 所 示 。 


b SaliteDatabaseProperties CREATE TABLE SaliteD... 
bcall CREATE TABLE call (RO.,.. 
bsalite_sequence CREATE TABLE sqlite_se... | 
bp data CREATE TABLE data (RO... 
sqlite autoindex SqliteDatabaseProperties_l] index 
date_ index index CREATE INDEX date_ind...| 


图 6.88 利用 SQL Database Browser 查看 数据 库 内 容 
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列 名 


call history_ limit 


timer lifetime 


_Uniqueldentifier 


_ClientVersion 
timer last 
timer_outgoing 
timer_ingoneg 
timer_ all 

timer last reset 


data_ last_reset 


ROWID 


表 6.40 “ SqliteDatabaseProperties” 表 重点 字段 说 明 
说 明 
通话 记录 保存 的 数量 ,一般 为 100 条 
通话 记录 总 时 间 , 以 秒 数 表示 。 这 里 是 1 小 
时 44 分 钟 
iPhone 的 UUID(UUID 是 Universally Unique 


EA400B8A-3319-46B5-9FA8- : 
Identifier 的 缩写 ,通用 唯一 识别 码 , 有 可 能 在 


697D2D4C65D9 
升级 1OS 改变 ) 
数据 库 版 本 标识 
12:10S 7 

] 1 
ll; 10S 6 
a (上 覆 ) 


最 后 一 个 电话 通话 时 间 ( 以 秒 数 计 ) 

拨 出 的 电话 通话 总 时 间 ( 以 秒 数 计 ,网 络 设置 
还 原 后 重新 计算 ) 

拨 入 的 电话 通话 总 时 间 ( 以 秒 数 计 , 网 络 设置 
还 原 后 重新 计算 ) 

拨 入 与 拨 出 的 电话 通话 总 时 间 ( 以 秒 数 计 ,网 
络 设置 还 原 后 重新 计算 ) 

通话 时 间 状 态 被 重 置 到 目前 的 间 隅 时 间 ( 以 
秒 数 计 ,与 data last_ reset 非常 接近 ) 

数据 传输 状态 被 重 置 到 目前 的 间 隅 时 间 ( 以 
秒 数 计 ) 


232345655. 1842 


2323456o5. 1942444 


表 6.41 “eall” 表 重点 字段 说 明 


address 对 方 电话 号 码 或 FaceTime ID 


date 1365661061 通话 时 间 (UNIX 时 间 格 式 ,2013 年 4 月 11 日 17:;41) 


duration "80 通话 时 长 (以 秒 计 ) 


flags 


通话 标识 (iOS7 之 前 版 本 ) 
4: 所 人 

5: 拨 出 

(了 略 ) 

通话 标识 (iDS7) 

0: 呼 人 电话 

9: 呼出 电话 


BL10S6. 1.3) 


id 


country_code 


network_ code 


read 


b. 地 理 信息 


00 


ee 
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说 明 
通讯 录 标 识 ,如果 为 一 1, 表 示 通 讯 录 中 无 此 联系 人 数据 或 者 是 
拨 人 电话 
MCC: Mobile CountryCode ,移动 国家 码 ,MCC 的 资源 由 国际 电 
联 (ITU) 统 一 分 配 和 管理 ,唯一 识别 移动 用 户 所 属 的 国家 , 共 3 
位 ,中 国 为 460 
MNC:Mobile NetworkCode, 移 动 网 络 码 , 共 2 位 ,中 国 移动 TD 
系统 使 用 00, 中 国联 通 GSM 系统 使 用 01， 


Private/ var/root/Library/Caches/locationd 目录 下 的 consolidated. db 文件 中 保存 了 
大 量 的 地 理 位 置信 息 。consolidated. db 存储 的 iOS 设备 联络 过 的 一 定时 间 内 的 基站 信息 。 
这 些 信 息 , 可 以 对 用 户 的 位 置 进行 定位 ,如 图 6. 89 所 示 。 


= 四 各 


Dlle 


- — i Pe, Be ~ 
(Ed SsUWLite Liatabase Browse 


EE i 
| deals 


Database Structure 


日 1 i :ey es 
[Users/MALBEUDOK VS Forensics/ IFnon 


EE . 3 
Ee 2 一 一 -一 -一 -一 一 一 村 


Execute SQL 上 


| New Record | Delete Record 


| MagneticX | MagneticZ 


MagneticY BiasX BiasY 


Timestamp 

1 416025710.387485 

2 | 416025424.100286 
la | 416025253.335133 
时 416025257.942594 
15 416025271.039506 
I6 416025428.783238 
| 了 
| 县 416025437.398522 
EE 416026801.892566 
110 | 416026801.065306 
11 416025780.481086 
112 | 416026805.28287 
aa 
14 | 416040788.138988 

15 
116 416040828.362248 


151397705078 016975402832 495580673218 161254882813 4699554443: 
A 757537841797|7413406372( 
870498657227 783092498779 713157653809 875122070313 9012451171f 
969604492188 411226272583 337223052979|554809570313 39686584477 
178972244263 058258056641|5805969238: 


743341445923 542804718018 450881958008 517639160156 6896972656z 


416025435.25186 5033111572270553593490601| 384931564331 328033447266 9131458740: 


033851623535|264652252197|381050109863|395568847656|1407775878 
061653137207|116312026978|452808380127|293701171875|4462585449: 
949485778809 830657958984|63706970214 
650611877441 168651580811 315162658691 636932373047 5988769531; 


460220336914|157089233398|829612731934 421508789063 2924499511; 
416026812.247791 971418380737|923362731934|270263671875|3501892089: 


757278442383 


284526824951 236526489258 461616516113).44352722168/6271057128¢ 


416040804.006766|033081054688 573303222656|210334777832 024429321289|7388763427’ 


575756072998 .495338439941 235275268553 3971537617196315917968; 


| < |1-160of16| > | 


[cto 


图 6. 89 ”consolidated. db 内 容 


iOS 摄像 涉 招 摄 的 照片 和 视频 也 保存 了 GPS 定位 信息 。 例 如 照 户 的 EXIF 信息 中 内 骸 
GPS 数据 。 通 过 分 析 照 片 , 可 以 判定 使 用 人 在 特定 时 间 所 处 的 位 置 。 照 片 存储 在 “Private/ 
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var/mobile/Media/DCIM/ ”下 的 目录 中 ,目录 一 般 以 "100APPLE”、“101APPLE” 命 名 。 照 
片 以 “IMG_000X. jpg” 命 名 ,每 拍摄 一 张 照 族 ,文件 名 中 的 数字 递增 。 当 删除 图 片 后 再 次 提 
摄 时 ,不 会 使 用 已 经 删除 照片 的 文件 名 。 

2. Android 取证 

相对 于 10S 平 侣 的 封闭 ,Android 平台 的 优 瓜 主要 在 于 "开放 性 ”。Android 平台 允许 
任何 移动 终端 厂商 加 入 到 Android 联盟 中 来 。 显 者 的 开放 性 可 以 使 其 拥有 更 多 的 开发 者 ， 
提供 更 多 的 用 户 应 用 。“ 开 放 性 ? 随 之 市 来 的 缺点 也 显 而 匈 见 , 就 是 Android 系统 更 新 速度 
很 快 , 多 种 系统 版 本 共存 导致 了 安 早 的 “碎片 化 ”。 除 了 官方 版 本 之 外 ,众多 的 个 性 化 分 文 
( 称 为 Mod 固件 或 者 ROMs) 被 众多 的 业余 爱好 者 在 官方 版 本 的 基础 上 进行 骨 次 开发 , 增 
加 功能 提高 效率 。 这 些 情况 增加 了 Android 系统 的 复杂 性 ,对 于 取证 工作 也 设置 了 众多 的 
障 但。 使 得 Android 取证 成 为 一 种 “ 见 招 拆 招 ” 的 非 固 定 模 式 的 取证 工作 。 

Android 安 狐 包 (APK) 是 安 蛙 应 用 程序 的 安 沪 包 。APK 是 类 似 Symbian Sis 或 Sisx 
的 文件 格式 。 通 过 将 APK 文件 直接 传 到 Android 应 用 环境 中 直接 执行 即 可 安装 。APK 文 
件 其 实 是 zip 格式 ,但 后 组 名 被 修改 为 apk, 通 过 UnZip 解压 后 ,可 以 看 到 Dex 文件 ,Dex 是 
Dalvik VM executes 的 全 称 , 即 Android Dalvik 执行 程序 ,并 非 Java ME 的 字 贡 码 而 是 
Dalvik 宇 节 伍 。 

(1) Android 的 连接 

Android 的 连接 主要 使 用 adb 命令 ,adb 的 全 称 是 Android debug bridge(Android 程序 
调试 桥 ) 。adb 命令 包含 在 Android 的 软件 开发 套件 (sdk) 中 。 可 以 在 http://developer. 
android, com/ sd 网 站 上 上 下载。 有 Mac OS X 、Linux 和 Windows 版 本 。 这 里 以 Mac OS X 
10.9 为 例 ,讲解 如 何 安 衣 SDK 并 运行 adb 命令 : 

QD http://developer. android. com/ sdk 下 载 Mac OS X 版 的 sdk。 

下 载 的 文件 类 似 于 “adt-bundle-mac-x86_64-20131030. zip”, 解 压 后 ,将 目录 复制 到 
“1/User 六 用 户 名 ”/Documents/”, 更 名 为 “Android SDK”。 

G@) 在 “终端 ”中 输入 “open -a TextEdit. bash_profile”。 如 果 没 有 “. bash_profile” 文 件 ， 
则 输入 “touch. bash_profile” 建 立 此 文件 ,然后 再 次 打开 它 。 

由 输入 “export PATH 二 "/Users/“ 用 户 名 ”/Documents/Android SDK/sdk/platform- 
tools/": $$PATH”。 为 了 建立 默认 路 径 。 

B 重启 “终端 ”, 输 入 adb 即 可 使 用 。 

@) 再 要 拷贝 文件 之 前 确认 是 否 具 有 可 执行 权限 。 需 要 在 adb shell 终 病 下 chmod -R 
777 目录 和 名。 然后 退出 adb shell(exit 命令 ) ,使 用 adb pull (远程 路 径 〉( 本 地 路 径 ) 找 由 
文件 。 

OO 使 用 Adb 命令 进行 操作 。 
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(2) 文件 系统 

Android 的 系统 分 区 使 用 了 多 种 文件 系统 。 除 了 熟知 的 EXT、FAT 文 件 系统 ,还 使 用 
了 一 种 特殊 的 文件 系统 : Yaffs2 文件 系统 。 

Android 采用 Yaffs2 作为 MTD NAND Flash 文件 系统 , 源 代 人 码 位 于 fs/yaffs2/ 目 录 
下 。Yaffs2 是 一 个 快速 稳定 的 应 用 于 NAND 和 NOR Flash 的 跨 平台 的 租 入 式 设备 文件 系 
统 , 同 其 他 Flash 文件 系统 相 比 ,Yaffs2 能 使 用 更 小 的 内 存 来 保存 其 运行 状态 ,因此 它 占用 
内 存 小 。Yaffs2 的 垃圾 回收 非常 简单 而 且 快 速 , 因 此 能 表现 出 更 好 的 性 能 。Yaffs2 在 大 容 
量 的 NAND Flash 上 的 性 能 表现 尤为 突出 ,非常 适合 大 容量 的 Flash 存储 。 

但 是 随 着 移动 终端 存储 容量 的 不 断 增 大 ,Yaffs2 文件 系统 的 综合 性 能 ,尤其 是 数据 稳 
定性 上 要 远 落后 于 Ext4, 因 此 越 来 越 多 的 移动 终端 的 文件 系统 使 用 了 Ext4。 

(3) 时 间 格 式 

Android 系统 使 用 的 时 间 格 式 大 多 为 UNIX/C 时 间 格 式 。 人 少数 应 用 程序 的 数据 可 能 使 
用 其 他 数据 格式 。 

(4) 文件 数据 格式 

Android 相对 1i9S ,文件 数据 格式 较为 简单 ,只 使 用 SQLite 数据 库 保 存 数 据 。 

考虑 到 对 用 户 隐 私信 息 的 安全 保护 ,在 Android 系统 中 , 当 数 据 库 需要 记录 用 户 个 人 数 
据 时 ,一 些 常 用 的 应 用 App 对 数据 库 也 并 非 不 采取 任何 加 密 措 施 。 例 如 Android 版 微 信 的 
聊天 记录 数据 库 , 其 采用 了 具有 加 密 措 施 的 SQLCipher 数据 库 对 用 户 数 据 进行 保护 。 
SQLCipher 是 一 个 在 SQLite 的 基础 之 上 进行 编 详 扩展 的 开源 数据 库 , 其 增加 了 对 数据 库 
加 密 功 能 。 对 SQLCipher 数据 库 的 访问 加 入 了 数据 库 密 钥 验 证 功能 ,用 户 在 连接 该 数据 库 
时 ,必须 先 验 证 密 钥 ,验证 通过 之 后 , 才 可 以 连接 到 该 数据 库 , 并 且 可 以 使 用 标准 的 SQLite 
数据 库 访问 语句 来 访问 SQLCipher 数据 库 。 

在 Android 系统 中 ,存储 通讯 录 、 通 话 记 录 、 短 信息 .QQ 聊天 记录 、 微 信和 聊天 记录 的 
SQLite 数据 库 保 存 路 径 如 表 6. 42 所 示 。 

表 6.42 Android 文件 系统 中 各 数据 库 的 存放 路 径 

提取 路 径 


/data/ data/ com. android. providers. contacts/ databases/ contacts2. db 


/data/ data/ com. android. providers. telephony/ databases/mmssms. db 


QQ 《QQ 号 码 ). db /data/ data/ com. tencent. mobileqq/ databases/ (qq 号 码 ). db 


(5) 取证 实例 
由 于 Android 是 开源 操作 系统 ,其 文件 格式 公开 ,因此 只 要 能 够 对 于 Android 设备 进行 
root 后 ,就 能 够 访问 到 所 有 的 配置 文件 和 数据 库 。 
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通话 记录 和 通讯 录 

标准 Android 设备 的 通话 记录 和 通讯 录 数据 是 以 sqlite 数据 库 形式 来 存放 的 ,文件 一 
般 存 放 在 “\ data \ data \ com. android. providers. contacts” 路 径 下 ,数据 库 的 名 称 是 
contacts2. db, 如 表 6. 43 一 表 6. 46 所 示 。 由 于 Android 系统 的 开放 性 ,定制 机 或 者 第 三 方 
Mod 可 能 会 将 通话 记录 和 通讯 录 数 据 库 保 存 到 其 他 地 方 。 例 如 小 米 .三 星 等 手机 。 

表 6. 43 sqlite_sequence 表册 
说 明 

call 表 最 大 值 ,表示 通话 最 大 数量 
raw_contacts 表 最 大 值 ,表示 通讯 录 的 最 大 值 


列 名 
calls 


raw_contacts 


contacts contacts 表 的 最 大 值 ,表示 通讯 录 的 最 大 值 
groups groups 表 最 大 值 ,表示 分 组 的 最 大 值 

mimetypes 记录 类 型 的 最 大 但 

data data 表 的 最 大 值 ,表示 通讯 录 所 有 信息 的 最 大 值 


其 中 calls 表 中 记录 的 是 通话 记录 ; groups 表 中 记录 的 是 联系 人 分 组 ; contacts 和 raw 
_contacts 表 中 记录 的 是 通讯 录 中 联系 人 的 具体 信息 ; data 表 中 是 以 联系 人 为 单位 的 所 有 
信息 的 顺序 排列 ,mimebitype 表 中 是 记录 的 类 型 ; data 表 和 mimebitype 表 可 以 说 明 联 系 人 
的 信息 记录 的 所 有 信息 (包括 记录 类 型 )。 

表 6.44 calls 表 的 重要 字段 说 明 ( 通 话 记 录 ) 


id 唯一 标识 , 自 增 ,从 1 开始 ,不 会 重复 ,除非 还 原 设置 
电 


number 041188058330 话 号 人 码 


i 0 UNIX/C 时 间 格 式 ( 以 毫秒 为 单位 ), 电 话 呼 人 、 呼 出 时 
和 间 。2013 年 1 月 19 日 18:34:37 GMT 十 8 
duration 通话 时 长 (以 秒 为 单位 ) 。90 秒 


通话 记录 的 类 型 : 


type | 


前 话 是 天 被 如 
nd 通讯 录 姓 名 


@ 存储 着 数据 库 中 重要 表 的 最 大 值 , 对 于 取证 工作 有 着 重要 的 指导 意义 。 


列 名 


numbertype 


contactid 


normalized number 


列 名 
_id 


name raw_contact_id 


photo_id 

send to_voicemail 
times_contacted 
last_time_contacted 
has_phone_number 
number count 
company 


nickname 


列 名 
_1d 
account name 


account type 
deleted 


contact 1d 
times contacted 
last_ time contacted 


display_name 
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号 码 类 型 

自 定 义 一 0 

TYPE HOME = 1 

TYPE_ MOBILE = 2; 

TYPE WORK = 3; 

上) 
322 通讯 录 序 列 号 (ID) 
按 E164 编码 规则 的 编码 的 电话 号 码 。 由 以 下 几 个 部 分 
组 成 (不 同 部 分 之 间 可 以 用 “-”“. ”或 空格 等 连接 ); 
ENUM 十 国家 码 (1 一 3 位 数学 )- 地 区 码 (n 位 数学 )- 电 话 
号 码 (15-n 位 数字 ) 


十 86041188058330 


表 6.45 contacts 表 重 要 字段 说 明 


1 


唯一 标识 , 目 增 ,从 1 开始 ,不 会 重复 ,除非 还 原 设 置 
对 应 raw_ contact 表 中 的 id 

对 应 photo_lookup 表 中 的 id 

是 否 为 语音 邮件 ,1 为 是 ,0 为 否 

通话 时 间 ,如 果 没 有 通话 为 0 

最 后 一 次 通话 时 间 

表示 联系 人 是 否 有 电话 号 码 ,1 为 至 少 一 个 ,0 为 没有 
公司 名 称 

昵称 


raw_contacts 表 的 重要 字段 说 明 


训 有 
i 
有 名, 们 各 eveie 了 天 

也 奖 和 ,例如 "eo EU 


oo 删除 标志 。0: 正常 ; 1: 删除 。 当 同步 时 ,此 数据 才 被 
删除 

对 应 contact 表 的 id 

0 | 通话 时 间 , 如 果 没 通话 为 0 


最 后 一 次 通话 时 间 


表 6. 46 


13596074052006 


大 连 网 安 。 ”| 姓名 
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续 表 


display_name_alt 姓名 缩写 


sort key 


sort_ key_alt 


@ 账号 


账号 信息 保存 在 “\data\data\com, android. providers. contacts\database” 的 contacts2 
. db 数据 库 中 的 account 表 中 ,如 表 6. 47 所 示 。 


表 6.47 _ Account 表 重 要 字段 说 明 


account_ name myaccount1 账号 名 称 


com. evernote 所 属 应 用 


account_type 


3. 山寨 机 的 取证 

山寨 机 的 种 类 繁多 ,开发 方案 多 样 。 导 致 了 它 的 文件 系统 没有 统一 标准 。 在 取证 过 程 
中 需要 根据 实际 情况 进行 手动 分 析 。 以 MTK 必 搬 的 山 春 机 为 例 : 

MTK 6235/6238/6228/6230 等 较 高 端 平台 用 NAND Flash 架构 。NAND Flash 无 法 
直接 寻 址 ,不 能 直接 运行 软件 ,要 加 载 到 RAM 中 才能 运行 。 实 际 上 是 NAND Flash 十 
SDRAM 架构 。 以 512Mb 十 256Mb(64MB 十 32MB) 为 例 ,如 图 6. 90 所 示 。 


EF 
示 纪 仆 这 


用 户 分 区 


图 6.90 MTK 6235/6238/6228/6230 分 区 


可 以 看 到 ,无 论 是 NorFlash 还 是 NAND Flash,MTK 都 是 使 用 一 种 FAT 文件 格式 的 
变形 ,将 FAT 区 放置 在 分 区 的 最 后 (而 不 是 传统 的 最 前 )。 如 果 知 道 这 一 点 ,只 需要 将 FAT 
分 区 表 按 正确 格式 放置 回 分 区 的 最 前 端 ,并 且 对 于 其 他 的 配置 进行 正确 修改 ,就 能 够 顺利 地 
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重 构 文件 系统 。 但 是 难点 是 其 他 配置 会 根据 不 同 手机 有 变化 ,这 些 配 置 较 难 确定 。 
6.5.7 小 结 


本 十 通过 移动 终 帝 的 发 展 历 程 、 现 状 , 结 全 实战 评 细 曾 述 了 移动 终 问 的 存储 原理 和 结 
构 ,取证 的 原则 和 流程 。 通 过 具体 数据 的 分 析 讲 解 了 移动 终 问 取证 的 技术 要 点 。 


6.6 网 络 电子 数据 取证 


电子 数据 取证 的 对 象 除 了 各 种 运行 各 种 操作 系统 的 计算 机 设备 之 外 ,还 有 一 个 重要 的 
对 象 是 网 络 数据 。 网 络 电子 数据 具有 种 类 复杂 ,处 于 动态 等 特点 。 基 取证 的 方法 与 操作 系 
统 的 取证 方法 截然 不 同 , 其 重点 是 对 不 同 的 网 络 电子 数据 进行 提取 和 解码 。 目 的 是 为 了 获 
得 信息 和 线索 。 网 络 电子 数据 取证 主要 分 为 两 部 分 : 一 种 是 在 线 取 证 ,是 针对 获得 权限 的 
服务 天 进行 电子 数据 的 分 析 , 目 的 是 提取 证 据 ; 一 种 是 在 线 债 查 ,是 针对 线索 进行 深入 发 
掘 , 通 过 网 络 应 用 扩大 线索 ,寻找 目标 ,在 线 侦查 的 一 种 称呼 为 "人肉 搜索 ”, 境 外 的 侦查 部 门 
称 为 公开 资源 情报 计划 (COpen Source Intelligence) ,人 向 称 OSINTI ,是 一 种 情报 搜集 手段 , 主 
要 从 各 种 公开 的 信息 资源 中 寻找 和 获取 有 价值 的 情报 。 本 市 分 别 从 这 两 方面 讲解 网 络 电 子 
数据 取证 。 


6.6.1 网 站 服务 器 取证 


近年 来 ,围绕 网 络 的 犯罪 形式 可 以 说 是 层出不穷 ,网 络 色 情 、 网 络 赔 博 、 网 络 传销 、 网 络 
侵权 、 网 络 诈骗 每 很 多 犯罪 形式 和 网 站 服务 带 的 取证 有 一 定 关 联 。 网 站 服务 副 的 取证 的 基 
本 流程 为 : 

(1) 分 析 前 台 网 站 服务 大 的 配置 文件 ,找到 网 站 服务 文件 所 在 的 目录 (DocumentRoot) 
和 全 部 代码 ; 需要 注意 的 是 ServerName 需 与 涉案 服务 天 一 致 ,IP 地 址 和 闪 口 和 前 期 侦查 
一 致 : 导出 网 站 应 用 的 所 有 代码 文件 ; 

(2) 通过 分 析 网 站 服务 器 文件 的 配置 , 找 出 网 站 数据 库 类 型 .IP 地 址 以 及 数据 库 的 访问 
用 户 和 名、 密码 等 ， 导出 数据 库 中 的 所 有 数据 ， 

(3) 利用 仿真 的 方式 或 者 使 用 提取 的 网 站 代码 和 数据 库 构 建 模拟 网 站 服务 器 ,注意 需 
要 设置 同样 的 主机 名 ,数据库 连接 关系 等 ; 

(4) 使 用 同样 的 方式 导出 后 台 管 理 服务 硕 的 代码 和 数据 库 中 的 所 有 数据 ,并 搭建 后 人 台 
仿真 或 模拟 网 站 

(5) 通过 登录 前 台 界 面 ,模拟 用 户 操作 行为 ,确定 与 之 相关 联 的 网 站 程序 和 模块 。 例 如 
在 网 络 传销 案件 中 ,使 用 前 台 页 面 ,模仿 用 户 对 产品 销售 的 管理 方法 ,进行 一 次 产品 销售 操 
作 , 找 出 所 有 关联 的 网 站 程序 和 模块 ,分 析 这 一 过 程 中 产品 销售 记录 详细 数据 表 以 及 上 下 绕 
利润 分 配 模 式 ; 
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(6) 通过 登录 后 台 管 理 界面 ,确定 并 分 析 后 台 管 理 数据 。 例 如 在 网 络 传销 案件 中 ,分 析 

全 用户 业 乌 员 统 计 报 告 页 面 程 序 , 得 到 用 户 统计 业绩 .返利 .分 红 等 相关 数据 表 及 其 详细 计 

(7) 综合 分 析 网 站 数据 , 查 清 网 站 结构 、 人 员 组 织 架 构 、 涉 案 资 金 流 转 等 情况 。 例 如 在 
网 络 传销 案件 中 ,综合 前 后 台 的 各 种 数据 以 及 业绩 计算 程序 算法 等 ， 弄 清 实 : 际 传 销 模型 涉 
案 金 额 .涉案 人 员 、 上 下 线 层级 关系 等 

Apache 是 当今 使 用 最 多 的 网 站 服务 硕 软 件 , 是 Apache 软件 基金 会 发 布 的 一 于 开源 

UNIX/Linux 的 发 行 版 众多 ， 每 个 平台 i 上 的 配置 和 运行 情况 可 能 会 有 所 不 同 ,这 里 是 以 
Ubuntu 14. 04 系统 下 Apache 2. 4.7 为 例 来 说 明 的 。Apache 也 可 以 运行 在 Windows 平台 
上 ,其 配置 文件 .日 志 等 分 析 方 法 类 似 。 

(1) Apache 状态 和 配置 

进入 系统 之 后 ,可 以 使 用 查看 网 络 连接 或 者 查看 进程 的 命令 来 确定 是 否 有 Apache 服 
务 运 行 、. 服 务 端口 是 多 少 。 在 Ubuntu 操作 系统 中 ,也 可 以 使 用 “apachectl status ”命令 来 查 
看 服务 的 运行 情况 。 下 面 的 示例 中 ,可 以 看 到 Apache 的 版 本 号 .编译 时 间 、PHP 的 版 本 号 、 
当前 时 间 、 服 务 运行 时 间 、 上 服务 负 载 、 各 个 具体 进程 的 状态 等 ,如 图 6. 91 所 示 。 


型 land@ubuntu: /etc/init.d 


landbubuntu: /etc/init.ds$ Bpache2ctl status 
Bpnache Server StAtUS fe6r localhost {via 127.0.0.1) 


SeErwer Version: Apache/2.4.7 {Ubuntu}y PHE/S5.5.9-1ubontu4.7 
Server MEM: prefork 
Server Built: Mar 10 2015 13:05:59 


Current Time: Wednesday, 22-BApr—2015 23:34:53 EDT 
RestAart Time: Wednesdav: 22-BPr-2015 17:50:05 EDT 
Parent Server Config. Generaticon: 2 

Parent Server MEM Generaticn: 1 

Server Uptime: 3 hours 44 minutes 41 Seconds 

SeErver load: 0O.01 0.07 0.12 

Total accesses: 14 一 Total Traffic: 37 EB 

CEU Usage: ud ss.02 Ca0 csa0 一 9.67e-5$ CPU load 
.D000677 requests/sec 一 1 Bilisecond 一 2706 B/request 

1 redquests currently being processed, 4 1idle Workerys 


corehoargd Key: 

"= Waiting for Connection, "Ss Starting up,r "R™ Reading Request, 

“WH ending Replyvy, "Ew Eeepalive (read}), "DD™ DNS LookFEup, 

“CC®* Closing SOonection, “LL Logging, "GG™ Gracefully finishing, 

I"™ Idle cleanup of worker,s ".™ Omen slot with no current Process 
landilubuntu: /etc/init.d$ 国 


图 6.91 Apache 服务 的 状态 


四 Apache 软件 基金 会 网 站 ,http;//www. apache. org 
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作为 服务 ,一般 可 以 在 /etc/init. d/” 目 录 中 找到 控制 脚本 ,其 中 可 以 看 到 Apache 配置 
文件 所 在 的 日 录 。UNIX/Linux 一 般 会 使 用 默认 配置 ,Ubuntu 中 的 Apache 的 配置 目录 在 
“fetc/apache2”, 该 日 录 下 的 内 容 大 人 致 如 图 6. 92 所 示 。 


apache2 


[|] etc apache2 


Places 于 
© Recent | 
人 六 Home conf-available conf-enabled mods-available 
Desktop Sy 二 
0 Documents si 
vw Downloads mods-enabled sites-available sites-enabled 
dg Music = Thi= EE 癌 奖 a 要 
[|| 
I Pictures ee 站 一 | 
时 videos apache2.conf enNnvvars magic 
闸 Trash al 
ED 
Devices /et 
[Gj Floppy Disk ports.conf 
Computer 
Network 
ml Browse Network 


日 Connect to Server 


6. 92 Apache2 配置 目录 的 内 容 


图 6. 92 是 Apache 配置 目录 的 典型 内 容 , 目 录 下 的 各 项 内 容 说 明 如 表 6. 48 所 示 。 

表 6.48 Apache 配置 目录 内 容 说 明 

目录 内 容 说 明 

Apache 服务 的 配置 文件 ,其 他 配置 文件 都 是 从 这 里 引用 的 
Apache 服务 运行 的 环境 变量 
magic mime_magic 模块 的 配置 文件 ,通过 查看 文件 的 一 些 内 容 判 断 MIME 类 别 
一 般 会 定义 Apache 服务 侦 听 的 端口 
sites-available 目录 中 包含 所 有 网 站 的 配置 ,sites-enabled 目录 中 则 仅 包含 所 有 处 于 激活 
状态 的 网 站 
Modes-available 目录 中 包含 所 有 本 地 可 用 的 模块 ,modes-enabled 目录 中 仅 包 含 所 有 处 
于 激活 状态 的 模块 
conf-available 目录 中 包含 所 有 用 户 配 置 ,但 可 能 未 激活 ; conf-enabled 目录 中 包含 所有 
激活 (当前 使 用 ) 的 配置 


目录 内 容 


apache2. conf 


SNVYArSsS 


ports. cont 


sites— 共 
modes- * 


contf- 关 


目录 中 Apache 服务 的 配置 文件 为 “apache2. conf”, 通 过 这 个 文件 的 “Include” 请 法 ,可 
以 引用 以 上 目录 中 的 其 他 配置 文件 ,综合 形成 网 站 的 整体 配置 。 这 些 文件 采用 Apache 的 
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配置 文法 名 ,文件 中 几 个 主要 的 配置 选项 如 表 6. 49 所 示 。 
表 6.49 Apache 主要 配置 选项 


配置 项 配置 选项 说 阴 
ServerRoot Apache 应 用 配置 的 根 目录 。 服 务 右 配置 ,日 志文 件 等 可 能 保存 在 这 个 目录 下 


定义 虚拟 主机 及 其 绑 定 的 域名 、IP 地 址 .端口 等 ,位 于 ”sites-x* ”目录 中 ,一 个 
Apache 服务 希 可 和 定义 多 个 虚拟 主机 
ServerName 定义 网 站 和 虚拟 主机 的 名 称 . 跨 口 ,一 般 用 于 “VirtualHost;” 段 中 
DocumentRoot 定义 网 站 和 虚拟 主机 的 根 目 录 , 一 般 用 于 ‘VirtualHost》” 段 中 
定义 网 站 中 使 用 的 目录 及 其 访问 特性 ,该 定义 可 能 位 于 “sites-* "或 “conf-*” 目 


Virtual Host;» 


‘Directory’? 录 中 

定义 网 站 访问 日 志 所 在 的 位 置 以 及 采用 的 格式 ,格式 也 可 由 “LogFormat” 语 句 
CustomLog 

定义 
ErrorLog 定义 网 站 错误 日 志 所 在 的 位 置 以 及 采用 的 格 去 

包含 其 他 配置 文件 内 容 ,“apache2. conf” 可 能 会 包含 如 下 的 配置 文件 :“mods- 
Include enabled/ * . conf”、“mods-enabled/ x* . load”、“conf-enabled/ * . conf” 和 “ sites- 


enabled/ * .conf” 和 “ports. conf” 


(2) Apache 日 志 

网 站 日 志 是 服务 右 的 重要 组 成 部 分 ,记录 了 用 户 对 服务 器 内 容 每 次 访问 的 具体 情形 。 
通过 对 网 站 日 志 的 分 析 , 可 以 获得 服务 瘟 和 各 个 页 面 的 使 用 情况 ,也 能 得 到 各 个 用 户 对 网 站 
的 使 用 情况 ,所 以 在 网 站 取证 的 案件 中 ,日 志 分 析 非 常 普 裔 。 

当 浏 览 妖 请 求 服务 副 时 ,服务 冀 可 能 会 记录 如 下 格式 的 访问 日 志 : 


192.168.160.1 --[25/ Apr/2015:01:37:56 -0700] "GET / HTTP/1.1" 200 3594 "-" "Mozilla/5.0 
(Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272. 


118 Safari/537.36" 


Apache 日 志 的 格式 可 由 “LogFormat” 或 “CustomLog” 博 句 明 确定 义 ,Apache 日 志 的 
缺 省 日 志 格 式 定 义 为 ;LogFormat "%h %] Mu %t NN"%r\" 上 全 ss %O \"% {Referer}i\" 
N\"o%1User-Agent)iN""” combined”, 这 里 面 “combined” 是 日 志 的 内 部 格式 名 称 , 所 以 日 志 共 
分 成 9 个 字段 有， 

QD“127.0.0.1”(%h); 远程 主机 的 IP 地 址 ,表明 访问 网 站 的 对 象 。 如 果 客 户 端 或 者 
服务 天 问 设置 了 代理 ,这 里 可 能 是 代理 服务 硕 的 地 址 。 这 是 最 重要 的 分 析 对 象 ,标明 了 客户 
珊 请 求 的 来 源 IP 地 址 。 


中 Apache 2.4 网 站 服务 器 文档 ,http:/ /httpd. apache. org/docs/2. 4/ 
回 ”Apache 日 志 配 置 文法 和 说 明 ,http://httpd. apache. org/ docs/2. 4/mod/mod_log_config. html# customlog 
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四 “-”(%1) ; 远程 主机 的 登录 名 ,需要 identd 服务 支持 ,网 站 端 需要 激活 “mod_ident” 
模块 ,否则 返回 “-” 占 位 符 。 

(3 “-”(%u); 这 个 位 置 用 于 记录 浏览 者 进行 身份 验证 时 提供 的 名 字 。 如 果 访 问 的 内 容 
无 须 认 证 , 则 可 能 返回 “-”。 

“[3/Apr/2015:01:37:56 十 0800]”(%t); 请 求 的 时 间 惟 ,时 间 最 后 的 “十 0800” 表 示 
服务 兹 位 于 UTC 之 后 8 小 时 的 时 区 ,也 就 是 东 8 时 区 。 时 间 是 分 析 的 主要 因 系 ,必须 注意 
使 用 时 区 信息 进行 时 间 调 整 。 

四 "GET / HTTP/1.1"(%r); 客户 端 请 求 , 这 里 包括 请 求 的 方法 (GET ,还 有 POST、 
HEAD 等 更 多 请 求 方法 ,具体 可 参见 维基 百科 )、 请 求 的 资源 ( 即 网 站 URL, 这 里 是 网 站 根 
目录 ) 和 请 求 使 用 的 协议 (HTTP/1.1)。 这 一 项 和 请 求 的 资源 有 关 , 是 主要 分 析 和 过 滤 对 
象 ,同时 对 请 求 方法 的 分 析 也 很 重要 。 

“200”( 上 二 s); 请 求 最 终 返 回 的 状态 编码 。 它 可 以 告诉 我 们 请 求 是 否 成 功 , 或 者 遇 
到 了 什么 样 的 错误 。“200”" 表 示 服 务 希 已 经 成 功 的 啊 应 浏览 部 的 请 求 ,一 切 正 凋 。( 以 2 开 
头 的 状态 码 表 示 成 功 , 以 3 开头 的 状态 码 表示 由 于 各 种 不 同 的 原因 用 户 请 求 被 重 定 癌 到 了 
其 他 位 置 ,以 4 开头 的 状态 代码 表示 客户 端 存 在 某 种 错误 ,以 5 开头 的 状态 代码 表示 服务 大 
遇 到 了 某 种 错误 ,详细 信息 可 参见 维基 百科 %,) 

QD“3594”(%O 〇 ); 服务 问 返 回 的 字 节 数 , 包 括 协 议 头 部 在 内 。 如 果 客 户 端 请 求 在 中 途 
放弃 , 则 可 能 返回 0。 

“-”( % {Referer)i); 客户 端 指 定 请 求 “uri” 的 源 地 址 ,也 就 是 当前 请 求 是 从 哪个 页 面 
链接 过 来 的 ,对 取证 分 析 很 有 帮助 。 

(9) "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537. 36 (KHTML, like 
Gecko) Chrome/41. 0. 2272. 118 Safari/537. 36"(% {User-Agent}i); SF 克 兰 标识 ， 
其 中 有 引擎 、 若 容 性 、 版 本 等 各 种 信息 , 随 者 浏览 颖 、 版 本 的 不 同 会 有 所 区 别 。 通 过 浏 贤 絮 标 
识 也 能 做 一 定 的 过 滤 和 贤 选 。 

网 站 日 志 的 取证 和 分 析 在 实战 中 非常 普及 ,网 站 应 用 和 日 志 规 模 视 具体 案情 而 有 所 不 
同 。 在 实际 应 用 中 有 攻击 分 析 视 角 .统计 分 析 视 角 以 及 特征 和 关联 视角 等 多 种 不 同 的 分 析 
方法 旦 。 


6.6.2 IP 地 址 的 取证 


IP 地 址 是 指 互 联网 协议 地 址 (Internet Protocol Address, 义 详 为 网 际 协议 地 址 ), 是 IP 
Address 的 缩写 。IP 地 址 是 IP 协议 提供 的 一 种 统一 的 地 址 格式 , 它 为 互联 网 上 的 每 一 个 网 


HTTP 协议 的 请 求 消息 ,http://zh. wikipedia. org/ wiki/ 超 文本 传输 协议 
四 ” HTTP 协议 返回 的 状态 信息 ,http:/ /zh. wikipedia. org/ wiki/ HTTP 状态 码 
网 站 日 志 分 析 的 几 个 视角 ,http:;/ /blog. forensix. cn/2014/04/web-log-analysis-several-views/ 
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络 或 每 一 台 主 机 分 配 一 个 逻辑 地 址 ,以 此 来 忽略 物理 地 址 的 差异 。 

IP 地 址 就 像 是 网 络 上 的 门牌 号 ,用 以 区 分 网 络 上 不 同 的 网 络 设 备 ,目前 ,IP 地 址 由 
Inter NIC 分 配给 各 国 使 用 后 ,由 当地 网 络 运 彰 商 负 责 维 护 和 分 配 。 由 于 当前 的 网 络 设备 效 
量 远 远大 于 IP 地 址 数量 (尤其 是 中 国 大 陆 ) ,所 以 各 地 运营 商 大 量 采 取 动 态 分 配 IP 地 址 方 
式 , 及 随机 分 配 不 同 的 IP 地 址 给 连 人 网 络 的 设备 ,不 连 人 网 络 的 设备 及 时 收回 了 了 ,所 以 要 
确定 一 个 IP 地 址 对 应 哪 一 个 网 络 设备 , 震 要 首先 确定 该 IP 的 使 用 时 间 。 

1. IP 地 址 的 获取 

需要 特别 明确 的 是 ,一 个 卫 地 址 对 应 一 个 网 络 设备 ,而 不 是 一 个 人 。 网 络 犯 罪案 件 中 ， 
获取 IP 地 址 往往 是 虚实 结合 点 ,所 以 千方百计 获取 IP 地 址 线索 是 侦办 涉 网 案件 的 关键 点 。 

(1) 查看 本 机 IP 地 址 

在 Windows 的 大 部 分 主机 上 ,可 以 采用 ipcontig 命令 获 
如 图 6. 93 所 示 。 


取 本 机 所 有 与 IP 相关 的 信息 ， 


"Docunments and Settings “dninistrator»ipconf ig 


lindows IP Conf iguration 


Ethernet adapter 本 地 入 接 : 


Gonnection—specific DNS Suff ix 

IP fddress. ob68 .5 .1188 

Subhnet Mask :255 .255 .255.9 
: 192.168.5.1 


A | 


6.93 在 Windows 主机 上 查询 本 机 IP 地 址 


在 Mac OS 及 类 UNIX 的 主机 上 可 以 使 用 ifconfig 等 命令 获取 本 机 IP 地 址 等 详细 信 
息 , 如 图 6.94 所 示 。 


rootihotato- kali: ~# ifconfig 
etho Link encap: Ethernet Hwaddr 00: 0c: 29: a5: 10: cé 
inet addr: 192.168.5.107 Bcast: Mask: 255. 255. 255. 站 
ineté addr: Te80: : 20c: 291f: feaS: 10c6/ 6d4 Scope: Link 
UP BROADCAST RUNNING MULTICAST MTU: 1500 Metric:1 
RX packets: 25778 errors:0 dropped: 0 overruns:0 frame: 人 0 
1X packets: 11031 errors:0 dropped: 0 overruns:0 carrier:0 
collisions:0 txgqueuelen: 1000 
RA bytes: 37b88874 (35.9 MiB)Y TX bytes: S065D09 (C787.6 K1iB) 


LinK encap: Local Loopback 

inet addr: 127.0.0.1 Mask: 255,0.,0.0 

inet6 addr: ::1/128 5cope: Host 

UP LOOPBACK RUNNING MTU: 65536 Metric:1 

MX packets: 3321 errors:0 dropped: 0 overruns:D Trame: 0 
1% packets: 33217 errors:0 dropped: 0 overruns:0 carrier:0 
collisions: 0 txgqueuaelen: 人 0 

RX bytes: B758696 (6.4 MiB)Y TX bytes: 7S8696 (6,4d4 MiB) 


root@potato- kali: ~# 国 


6.94 在 UNIX* 主机 上 查询 本 机 IP 地 址 
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在 连 人 互联 网 的 内 网 主机 可 以 通过 访问 www. ip. cn 等 网 站 获取 本 地 网 络 的 公 网 IP 地 
址 ,如 图 6.95 所 示 。 
电 Po 


| 文 作 虽 “ 绩 辑 日 坦 看 W， 历史 GG) 书签 四， 工具 国 基 过 动 上 
中 [ 国 IP.cn - IP 地址 查 询 | 地 理 位 置 | 手 机 x | 十 


所 jp< 四 国 阅 目 -c| 加 .ESsp| 人 -合力 -日 |- 四 元 
rR 


[于 二 加 ”于 机 、 电 话 己 码 数据 库 ”DNS ”一 徐 码 
请 输入 要 查询 的 域名 或 P 地 址 


当前 IP: | 6@.174.242.131 | 来 自 : 安徽 省 课 湖 市 电 
信 
GeolP: Hefei, Anhui China 


图 6.95 查询 局 域 网 主机 公 网 IP 地 址 


(2) 调查 相关 网 络 设备 或 服务 疾 的 留存 资料 

通过 查询 存储 型 路 由 器 、 交 换 机 等 网 络 设 备 ,获取 主机 的 IP 地 址 。 在 可 以 接触 到 服务 
锋 的 情况 下 ,可 以 直接 从 服务 右 端 查询 对 象 的 访问 IP 地 址 。 

(3) 从 相关 网 络 服务 商 调 阅 IP 日 记 资 料 

在 获取 对 象 的 某 些 网 站 用 户 名 .QQ 号 、 人 人 网 等 虚拟 网 络 账 号 后 ,可 按照 相关 的 证 据 
调 取 规定 ,到 相应 的 网 络 服务 应 用 商 处 调 取 对 应 的 登录 IP 地 址 资料 。 

2. 调查 IP 地 址 

获取 了 对 象 的 IP 地 址 后 ,就 需要 对 IP 地 址 的 使 用 人 、 用 途 、 是 否 涉 案 等 进行 定性 。 围 
绕 IP 地 址 的 调查 技巧 有 很 多 ,主要 有 以 下 几 种 : 

(1) 使 用 nslookup 查询 IP 的 用 途 

很 多 互联 网 上 的 网 络 系 统 可 以 通过 一 个 数字 的 IP 地 址 或 一 个 完全 合格 域名 (Fully 
Qualified Domain ,缩写 为 FQDN) 来 确定 ,FEQDN 是 网 络 系统 的 一 个 文本 名 称 , 便 于 用 户 能 
很 容易 记 住 它 , 其 作用 类 似 电 话 短 上 与 电话 号 码 对 应 的 名 称 ,通过 nslookup 等 命令 查询 某 
个 耻 地 址 的 FQDN ,可 以 洞察 该 IP 地 址 的 系统 用 途 或 位 置 , 如 图 6. 96 所 示 。 

从 图 6. 96 可 以 看 出 ,IP 地 址 173. 194. 127. 144 对 应 的 FQDN 为 hkg03s13-in-f16. 
lel100. net, 而 域名 lel00. net 正 是 google 公司 所 有 ,由 此 判断 173. 194. 127. 144 是 google 
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CG:“Documents and Settings dninistratornslookup 173.194.127.144 
"5 go0o0gle—public—dns—a. google .com 


hkgld3s13-in-—fi6 .1eifWm .net 
SS 17?73.194.127.144 


CGC: “Documents and Settings“ dninistrator?s 


图 6. 96 使 用 nslookup 查询 IP 


公司 的 其 中 一 个 服务 硕 IP。 
值得 注意 的 是 ,不 是 所 有 的 域名 服务 顺 都 允许 被 查询 ,应 更 换 多 个 域名 服务 套 进 行 查 
询 ,或 者 通过 第 三 方 nslookup 工具 进行 查询 。 
(2) 使 用 Tracert 跟 跨 IP 路 由 
Tracert 命令 通过 发 送 一 个 TTL 数据 包 ,监听 返回 的 ICMP 超时 消息 来 判断 其 路 由 路 
径 。 这 种 方法 最 大 的 好 处 是 可 以 获得 最 后 到 达 目 的 IP 的 路 由 地 址 ,从 而 判断 出 目的 IP 的 
(3) 利用 端口 扫 摘 判断 IP 所 属 网 络 设备 的 类 型 
-个 端口 代表 一 个 服务 ,而 有 些 服务 是 一 些 操作 系统 所 特有 的 (默认 的 ), 例 如 端口 
3389 是 Windows 服务 套 远 程 和 更 面 的 默认 冰 口 , 库 口 22 是 类 UNIX 系统 的 远程 SSH 尊 口 ， 
端口 1723 是 VPN 服务 的 默认 奖 口 ,一 些 网 络 服务 还 可 通过 端口 返回 指纹 信息 ,通过 端口 
开放 情况 可 以 大 致 判断 该 卫 所 属 主机 的 存活 、 安 净 的 操作 系统 .开放 的 服务 等 情况 。 但 是 
需要 注意 的 是 ,在 有 些 国 家 ,未 经 授权 的 情况 下 进行 高 口 扫 摘 是 违法 的 。 
(4) 利用 网 络 搜索 综合 判断 IP 性 质 
利用 各 大 搜索 引擎 对 IP 地 址 进行 搜索 ,根据 搜索 结果 对 IP 地 址 进行 综合 判断 。 例 如 
-个 无 法 判断 属地 城市 的 IP 地 址 ,如果 多 次 出 现在 百度 某 个 城市 的 贴吧 , 则 该 IP 极 有 可 能 
就 属于 这 个 城市 ; 利用 cn. bing. com 搜索 引擎 加 “IP: X. X. X. X” 语 法 可 以 搜索 出 在 这 个 IP 
地 址 上 曾经 出 现 过 的 网 页 ; 如 果 IP 地 址 多 次 出 现在 某 些 代 理发 布 站 上 , 则 这 个 IP 地 址 极 
有 可 能 为 代理 地 址 。 


6.6.3 路 由 器 的 取证 


路 由 侣 作为 连接 网 络 古 点 的 天 键 设备 ,不 仪 会 记录 一 般 数 据 传输 的 路 由 信息 ,同时 也 会 
记录 一 些 关 键 的 IP 地 址 或 MAC 地址 的 访问 信息 ,因此 在 网 络 犯 罪案 件 的 侦查 取证 中 ,路 
由 带 也 是 一 个 不 可 忽略 的 网 络 设备 。 

企业 级 的 路 由 带 一 般 市 有 日 志 功 能 ,只 需要 提取 日 志 即 可 进行 分 析 。 一 般 家 硅 或 小 型 
企业 使 用 的 路 由 冀 均 不 市 日 志和 存储 功能 ,这 就 需要 在 路 由 带 断 电 之 前 进行 取证 , 耕 则 断 电 或 
重 局 路 由 如 后 ,一些 重要 的 数据 ,如 路 由 表 、 监 昕 的 服务 、 当 前 使 用 的 密 人 码 等 重要 的 数据 信息 
就 会 丢失 , 达 不 到 取证 的 效 末 。 
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6.6.4 MAC 地 址 相关 的 取证 


MAC(Media Access Control) 地 址 ,或 称 为 物理 地 址 、 便 件 地 址 ,用 来 定义 网 络 设 备 的 
位 置 。MAC 地 址 采用 十 六 进 制 数 表示 , 共 六 个 字 节 (48 位 ), 形 如 “01-23-45-AB-CD-EF”。 
其 中 ,前 三 个 字 节 是 由 IEEE 的 注册 管理 机 构 RA 负责 给 不 同 广 家 分 配 的 代码 (高 位 24 
位 ) ,也 称 为 “编制 上 唯一 的 标识 符 ”, 例 如 00-50-53 代表 Cisco 公司 ; 后 三 个 字 节 (低位 24 
位 ) 由 各 厂家 日 行 指 派 给 生产 的 适 配 兹 接口 , 称 为 扩展 标识 伯 , MAC 地 址 实际 上 就 是 适 配 
硕 地 址 或 适 配 郑 标识 符 ,具有 全 球 唯 一 性 。 

1. 查询 本 机 网 卡 MAC 地 址 

- 般 情 况 下 ,在 网 卡 的 商业 标签 上 可 以 找到 其 MAC 地 址 ,在 开机 状态 下 ,可 以 通 
过 ifconfig、wincfg、ipconfig /all 等 命令 以 及 查询 注册 表 等 方式 获取 本 机 中 的 网 卡 MAC 
地 址 。 

2. 通过 arp 命令 查询 局 域 网 中 网 络 设备 的 MAC 地 址 

每 台 计 算 机 都 存 有 一 个 记录 MAC 地 址 与 IP 地 址 对 应 关系 的 ARP 表 , 如 果 ARP 表 中 
的 远程 计算 机 没有 活动 连接 ,那么 在 大 多 数 系统 中 这 个 表 每 30 秒 更 新 一 次 。ARP 表 可 看 
作 是 用 于 包含 系统 最 近 30 秒 内 与 之 会 话 的 计算 机 MAC 地 址 与 IP 地 址 的 对 应 关系 表 。 使 
用 arp 命令 可 列 出 计算 机 ARP 表 的 内 容 , 如 图 6. 97 所 示 。 


CG:“lsers“potato—wSs40 2arp —a 


接口 : 192.168.5.104 ---- 


@xl11 
Internet 地 址 物理 地 址 
192.168.5.1 he—c5—54-—81-—hbd-—aa 
192.168 .5 .188 M0—Bc—29—35-c9—52 
192.168.5 .255 ff—ff—ff—ff—ff—£ff£ 


6.97 利用 arp 命令 查询 路 由 表 


3. 查询 网 络 应 用 软件 记录 的 MAC 地 址 

正 因为 网 卡 的 MAC 地 址 具有 全 球 唯 一 性 ,而 且 是 针对 终端 而 不 是 网 络 , 所 以 很 多 网 络 
软件 商 将 其 记录 并 作为 识别 终端 用 户 的 特征 值 , 在 调查 取证 过 程 中 ,可 以 通过 这 些 软件 商 调 
取 相 关 的 MAC 地 址 ,并 通过 多 家 查询 进行 比 对 分 析 。 
06.06.S VPN 的 取证 

1. VPN 的 基本 知识 

VPN 是 虚拟 专用 网 络 (Virtual Private Network) 的 简称 ,是 指 在 公用 网 络 上 建立 私有 


网 络 进 行 加 密 通 信 , 在 企业 网 络 中 有 广泛 应 用 。VPN 网 关 可 通过 对 数据 包 的 加 密 和 数据 包 
目标 地 址 的 转换 实现 远程 访问 。 
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2. VPN 的 分 类 和 特点 

VPN 有 多 种 分 类 方式 , 按 协议 分 类 共有 三 种 ,分 别 为 PPTP、L2TP 和 IPSec, 其 中 
PPTP 和 L2TP 协议 工作 在 OSI 模型 的 第 二 层 , 又 称 为 二 层 隧 道 协 议 ; IPSec 是 第 三 层 障 着 
协议 。 

(1) PPTP(Point to Point Tunneling Protocol) , 称 为 点 到 点 障 道 协议 。 它 是 在 PPP 协 
议 的 基础 上 开发 的 一 种 新 的 增强 型 安全 协议 ,支持 通过 密码 验证 协议 (PAP) 可 扩展 认证 协 
议 (EAP) 等 方法 来 增强 其 安全 性 ,其 提供 服务 的 端口 号 默认 为 1723。PPTP 控制 连接 数据 
包 包 括 一 个 IP 报头 .一 个 TCP 报头 和 PPTP 控制 信息 。PPTP 将 原来 Ethernet 数据 包 先 
封闭 成 PPP packet, 再 由 GRE 封 衣 ,通过 Internet 传送 至 接收 闪 , 当 身份 认证 协议 选择 MS- 
chap 以 及 MS-chapv2 的 时 候 ,ppp payload 将 被 加 密 , 如 图 6. 98 所 示 。 


图 6. 98 PPTP 结构 


(2) L2TP(Layer Two 2 Tunneling Protocol) 即 第 二 层 障 道 协 议 , 它 结合 了 微软 的 
PPTP 以 及 Cisco 的 L2F 协议 。L2TP 将 PPP 分 组 进行 隧道 封装 并 在 不 同 的 传输 媒体 上 传 
输 。PPTP 要 求 互 联网 络 为 IP 网 络 。L2TP 只 要 求 隧道 媒介 提供 面向 数据 包 的 点 对 点 的 连 
接 。L2TP 可 以 在 IP 帧 中 继 永 久 虚 拟 电 路 (PVCs),X. 25 虚拟 电路 (VCs) 或 ATM VCs 网 
络 上 使 用 。 它 与 PPTP 的 最 大 区 别 在 于 交 持 的 应 用 线路 更 多 ,日 结合 了 L2F 和 PPTP 的 各 
自 优 点 ,扩展 了 PPP 模型 ,成 为 IETF 有 关 二 层 障 道 协 议 的 工业 标准 。 但 L2TP 本 和 号 并 不 
提供 数据 加 密 , 它 依赖 于 IPSec 对 数据 进行 加 密 。 

L2TP 首先 将 原始 用 户 数据 的 IP 报 文 经 过 PPP 封装 ,然后 链 路 层 将 PPP 帧 进行 L2TP 
封装 ,将 其 封装 成 UDP ,并 继续 封装 成 可 以 在 Internet 上 传输 的 IP 报 文 ,此 时 的 结果 就 是 
IP 报 文 中 有 PPP 帧 ,PPP 帧 中 还 有 IP 报 文 , 但 两 个 IP 地 址 不 同 , 里 面 的 IP 头 部 是 私有 地 
址 ( 原 地 址 为 L2TP 服务 器 动态 分 配 的 地 址 ,目的 地 址 为 虚拟 局 域 网 的 服务 需 地 址 ), 外 层 
IP 头 部 的 原 IP 是 客户 端的 原始 地 址 ,目的 IP 是 L2TP 服务 器 的 地 址 ,至 此 完成 客户 端 数据 
封装 ,然后 通过 L2TP 隧道 将 报 文 发 送 到 L2TP 服务 器 ,L2TP 服务 器 收 到 封装 的 IP 报 文 ， 
发 现 外 层 IP 头 部 的 目的 地 址 是 指定 日 己 的 ,然后 L2TP 服务 融 解 封 竣 报 文 , 得 到 里 面 的 IP 
报 文 ,然后 根据 IP 头 部 的 目的 IP 地 址 将 数据 包 发 送 到 内 网 局 域 网 服务 器 。 

从 上 述 L2TP 的 封装 过 程 可 以 看 出 L2TP 通常 以 UDP 报 文 的 形式 发 送 。L2TP 服务 
端 通 和 常 开 放 的 是 UDP 的 1701 端口 ,但 是 这 个 端口 仅 用 于 初始 的 隧道 建立 过 程 中 。L2TP 
隧道 发 起 方 任 选 一 个 任意 空闲 的 端口 向 接收 方 的 1701 端口 发 送 报 文 ; 接收 方 收 到 报 文 后 ， 
也 任 选 一 个 任意 空闲 的 端口 ,给 发 送 方 I 至 此 ,双方 的 端口 选 定 ,并 在 
障 关 保持 连通 的 时 间 段 内 不 再 改变 。 也 就 是 说 , 当 一 个 L2TP 协议 的 VPN 建立 连接 后 ,其 
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通信 的 端口 往往 并 不 是 1701 ,如 图 6. 99 所 示 。 


Encrypted 


IPSec lPSec IPSec 
号 ESP | ase | ma | ph | PPP payload | ESP |ESP Arth 
Ce header i a trailer trailer 


图 6. 99 L2TP 结构 


从 图 6. 99 可 以 看 出 L2TP 本 号 没有 加 密 , 其 加 密 VPN 的 数据 封 波 是 在 原始 L2TP 数 
据 连 接 的 IP 头 部 后 面 加 入 ESP 字段 的 ,所 以 这 是 一 种 传输 模式 的 IPSEC 隧道 。 

(3) IPSec(IP Security) 是 IETF IPSec 工作 组 为 了 在 IP 层 提供 通信 安全 而 制定 的 一 套 
协议 族 。 它 包括 安全 协议 部 分 和 密 钥 协商 部 分 。 安 全 协议 部 分 定义 了 对 通信 的 安全 保护 机 
制 ; 密 钥 协商 部 分 定义 了 如 何 为 安全 协商 保护 参数 ,以 及 如 何 对 通信 实体 的 身份 进行 鉴别 。 
IPSec 安全 协议 给 出 了 封 痛 安全 载 倚 (Encapsulated Security Payload, ESP) 和 鉴别 头 
(Authentication Header,AH) 两 种 通信 保护 机 制 o 其 中 | Di 机 制 为 通信 提供 机 密 性 和 和 完 
整 性 保护 ; AH 机 制 为 通信 提供 完整 性 保护 。IPSec 协议 往往 用 于 对 L2TP 类 型 的 VPN 进 
行 数据 加 密 。 

由 于 VPN 可 通过 服务 硕 、 便 件 .软件 等 多 种 方式 实现 ,可 为 企业 提供 安全 的 虚拟 私有 
网 络 , 具 有 成 本 低 , 多 于 使 用 的 特点 而 被 互联 网 用 户 广 泛 使 用 。 

3. 当前 国内 VPN 市 场 的 现状 

当前 市 场 上 的 VPN 运营 商 均 有 日 己 定 制 的 VPN 连接 需 , 用 户 只 要 运行 这 样 的 连接 天 
程序 ,可 以 自由 选择 商家 提供 的 VPN 线路 ,还 可 以 目 由 选择 PPTP、L2TP.、IPSec 等 协议 进 
行 连接 ,目前 市 场 占有 率 较 大 的 有 “91VPN”、“ 万 能 网 络 变 换 器 ”等 ,手机 VPN 客户 端 有 “ 效 
鱼 加 速 器 ”等 。 

VPN 用 户 类 型 主要 有 三 种 : 一 是 游戏 玩家 等 用 户 为 了 网 络 加 速 ,选择 与 游戏 服务 兹 等 
目标 服务 右 距 离 较 近 、 速 度 较 快 的 VPN 服务 更 ; 二 是 大 型 跨 地 域 企业 单位 为 了 远程 办 公 和 
信息 安全 连接 公司 内 部 网 络 ; 三 是 违法 犯罪 分 子 为 了 逃避 公安 机 关 打 击 而 使 用 IPSec 等 协 
议 的 加 密 VPN 从 事 涉 网 违法 犯罪 ,或 为 了 逃避 国家 防火 墙 的 监测 浏览 境外 非法 网 站 ,给 公 
安 机 关 湖 源 市 来 较 大 困难 。 

2008 年 ,正式 颁发 IP-VPN 业务 牌照 。 名 为 IPSec VPN 的 中 国 “ 国 内 互联 网 虚拟 专用 
网 ?增值 电信 业务 许可 证 自 其 诞生 之 日 起 即 以 MPLS VPN 为 发 展 方向 ,导致 VPN 市 场 无 
规 可 循 , 实 际 上 是 在 “灰色 运营 ”。 

4. VPN 调查 取证 方法 和 技巧 

由 于 VPN 的 通信 和 是 加 密 的 , 且 可 通过 VPN 网 关连 入 公 网 ,所 以 VPN 可 以 作为 代理 服 
务 需 上 网 。 近 年 来 , 随 着 公安 机 关 打 击 涉 网 违法 犯罪 力度 的 逐步 加 大 , 越 来 越 多 的 涉 网 违法 
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犯罪 嫌疑 人 为 了 逃避 公安 机 关 的 打击 ,在 上 网 过 程 中 使 用 VPN 代理 来 隐藏 真实 的 IP 地 
址 ,给 公安 机 关 及 时 发 现 、 定 位 犯罪 嫌疑 人 币 来 极 大 难度 。 

(1) 站 口 扫 描 确 定 VPN 

由 于 大 多 数 VPN 服务 开放 的 端口 为 1723(L2TP 隧道 端口 为 1701 ,连接 端口 随机 ) , 且 
不 易 人 和 修改, 所 以 取证 人 员 在 遇 到 可 疑 IP 地 址 时 ,可 先 对 该 IP 地 址 进行 端口 扫描 ,识别 
1723、1701 等 端口 是 否 开 放 来 确认 该 IP 地 址 所 属 网 络 设备 是 否 开放 了 VPN 服务 和 VPN 
协议 类 型 。 

(2) 巧妙 利用 搜索 引擎 查找 VPN 提供 商 

当前 ,网 上 提供 VPN 服务 的 企业 较 多 ,他们 提供 这 些 VPN 之 前 大 多 需要 发 布 VPN 服 
务 希 的 IP 资料 信息 ,取证 人 员 可 通过 互联 网 搜索 发 现 这 些 IP 的 归属 ,找到 该 VPN 的 提供 
商 ,再 从 这 些 提 供 商 处 调 取 连接 日 志 资 料 。 

例如 ,我 们 可 以 使 用 “x. x. x site:taobao. com” 等 google 搜索 语法 查找 在 淘宝 上 是 否 有 
我 们 要 找 的 vpn 销售 资料 ,如 图 6. 100 所 示 。 


IE, 
0 GI E 199.182.233 sitetaobao.com 


恒 ， 英 喇 免 备 高 VPS van2003/linux 16/2G/46G 和 内存 独立 人 P 趟 限 流 量 相 512M- 淘 宇 网 - Mozilla Firefox 
文件 昌 ” 和 忽略 EE) 查看 (V) 历史 (外 书签 B) 工具 四 帮助 (由 
| 用 革 入 备案 VPS win2003/linux 16/2G/.. | 十 | 


| 和 六 司 jiemtaobaocomyitemhtm?spm=a230r.1.14.75IAx9GgBid=195741| 浙江 省 杭州 市 阿里 云 BGP 数 据 中 心 CN 公国 已 | | 圈 Google co 户 生 
了 荣 用 网 址 | 系统 音 记 | |】 尖 油 库 | Temp | 网 阁 安全 | 窗 码 屡 子 | 境外 新 闻 
按 本 店 EE ani 累计 评论 261 。。 ”成 交 记录 310 专 宁 服 务 

a 


本 丁丁 春 [ 电 信 ]】 [199.192.233.253 

上 旺 | 本 全 ] Fi 
广东 东风 [二 信 ] | 139.183.233.253 
加 川 | 而 平 [可 个 ]】 | 放生 全. 直 站 了 瑟瑟 


工 竹 伍 间 [ 柄 信 ]〗 | .82,211.25 
去 油 民 天 [向 入 | 100.163.3733 353 
画 川 看 史 [ 电 储 】 | 165.162.233.253 

看 曾 [ 三 什 ] 二 
工 中 全 由 [中信 〗 | 159.1603.2113.153 


6. 100 利用 google 语法 查找 VPN 信息 


(3) 调 取 VPN 服务 器 日 志 资 料 
在 可 以 接触 到 VPN 服务 器 的 情况 下 ,应 尽快 调 取 VPN 日 志 资 料 。 默 认 情 况 下 ,主流 
的 微软 自 带 的 VPN 日 志 记 录 了 客户 端 IP、 连 入 时 间 、 客 户 端 机 器 名 等 信息 。 默 认 存 储 位 置 
为 :“%WinDir%\system32\LogFiles\IN 年 月 . log”, 如 图 6. 101 所 示 详 细 信 息 由 “路 由 及 
其 远程 访问 ”进行 配置 。 具 体 分 析 方 法 可 参照 6.1.7 日 志 分 析 章 
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电 计算 机 管理 


加 文件 字 ) 操作 必 ) 查看 QW) 窗口 里 ] ”帮助 HI) 


和 +| 外 | 四 | 旧居 | 久 国 


| ” 田 - 国 事件 查看 器 之 
| 由 -天 共享 文件 来 上 习 C:AWINDOWSYsystem32ATLoepPilas 
| 由 - 本 地 用 户 和 组 别 |saL SerTer “未 配置 ? 
:让 -请 | 性 能 日 志和 警报 
| ha 区 备 管理 如 
日- 鸭 | 存储 
由 可 移动 存储 i ET 

i > 磁盘 碎片 整理 程序 CMTINDOTS\systen32\LogFiles 

磁盘 管理 文件 他) ”编辑 邓 ) ”查看 四 收藏 各 工具 YI) 才 助 中 


中 站 | 多 区 辣 旭 夫 | 目 芋 X 加 | 国 ， 


由 - 目 电话 服 邯 
服务 地 址 血 ) 喇 二 而 [各 cinmors\systen32\LogFiles \WINDOWS\system32\LogFiles 
— 出 I 控制 


中 -加 索引 服务 
中 前 Intermet 信息 服务 IIS) 管 至 
晶 - Ew 路 由 和 远程 访问 

一 盘 网 络 接口 

-得 远程 访问 客户 渍 


2014-9-1 
HTTPERR 疤 忻 夹 2014-9-1 
Shut down 文件 来 2014-2-1 
|3sYcl 玄 件 爽 2014-12- 
IN1412. log 2 到 文本 文档 2014-12- 


Ey DHcP 中 继 代 理 和 
ee TE 


加 IN1412.1og 一 记事 本 


Pe [210-.209.75.200,upn,12/31/2014,10:23:38,RAS, YUNZKEYS ,44,62,4,210.209.75.200,6,2,7,1 
! 同 远程 访问 记录 216.289.75.288,vpn,12/3172014,16:23:38,RAS, YUNZKEYS,25,311 1 216.289.75.208 12/87/ 

216.289.75.2886,vpn,12/317/2014,16:23:41,RAS, YUNZKEYS ,4,216.289.75.280,6,2,7,1,5,129 
216.289.75.288,vpn,12/3172014,16:24:27,RAS, YUNZKEYS ,4,216.289.75.280,6,2,7,1,5,129g 


图 6.101 VPN 服务 般配 置 和 日 志 信息 


6.6.6 获取 网 络 数 据 流 信息 


在 经 过 充分 的 法 律 授 权 情 况 下 ,取证 人 员 可 以 使 用 网 络 嗅 探 的 方式 来 截获 网 络 中 传输 
的 数据 信息 ,并 通过 对 不 同 协议 的 解析 ,从 而 达到 监控 的 日 的 。 网 络 嗅 探 最 常用 的 是 “中 间 
人 攻击 ”。 以 ARP 欺骗 嗅 探 为 例 ,ARP 欺骗 别 探 是 中间 人 攻击 ”的 一 种 。 进 行 ARP 欺骗 
咒 探 ,需要 执行 以 下 步 缀 ,如 图 6.102 所 示 。 


! \ Destination Protocol Info 
1 D0, UU TT L' Re = 恒 Woke: Te rik: a se -TEP PTware »> Prto |SYh EO= ET 
ee SO 282706 202: 203. 208.32 192.168.0.103 Tp erp > Ces=softwar e [SYN CR TS 
\ : .203.208.32 TCP ccs-software > http [ACK] Seq=1 Ack=] 
a OB 0.103 ”202.203. 208.32 HTTP PosT /cgi-bin/1ogin HTTP/1.1 (Capplie 


5 0:565385 20252035208;32 =192.16850:103 TCP ep ces-software [ACK] Seq=l Ack=t 
EO 202.203.208.32 192.168.0.103 HTTP HTTPA, 1200 OK (text/html) 
‘7 3;669301 192.168. 102103” 202.203.208.32 TCP ccs-software > http [FIN, ACK] Seq=6 
8 3:699592 192.168.,0:103 202.203.208.32 TCP radwiz-nms-srv > http [SYN] Seq=0 Wi 
9 3.946065 202.203.208.32 192.168.0.103 TCP http > ces-softrware [FIN, ACK] Seq=% 


图 6.102 使 用 wireshark 进行 网 络 嗅 探 


(1) 网 卡 设置 为 混 洒 模式 (promiscuous) ,使 得 在 这 种 模式 下 工作 的 网 卡 能 够 接收 到 一 
切 通 过 它 的 数据 ,而 不 管 实 际 上 数据 的 目的 地 址 是 不 是 它 。 
(2) 利用 ARP 欺骗 日 标 PC, 是 目标 PC 认为 别 探 网 卡 是 目的 网 卡 。 在 传输 过 程 中 交换 
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机 和 计算 机 需要 查询 ARP 表 。 因 此 攻击 者 只 要 可 以 改变 目标 的 ARP 表 就 能 实现 攻击 ,从 
而 将 数据 引 寻 到 目 己 的 机 关上 。ARP 期 骗 可 以 使 用 的 工具 有 cain 或 者 ettercap。 

(3) 利用 咒 探 软件 ,例如 Wireshark、Tcpdumop 等 工具 通过 网 卡 截 获 数 据 。 

(4) 分 析 数 据 。 


6.7 密码 破解 


第 用 的 密码 大 概 有 几 十 种 之 多 ,最 为 人 熟知 的 密码 有 Windows 开机 密码 (包括 
LMhash 和 NTLMhash) .Office 密码 .MD5 密 公 .WinRAR 密码 。 如 果 愿 意 , 你 可 以 日 行 定 
义 一 个 加 蜜 方式 来 保护 自己 的 文件 。 

密码 破解 是 随 看 密码 应 运 而 生 的 ,无 论 是 出 于 恢复 合法 数据 的 目的 ,还 是 舌 探 他 人 隐私 
的 心理 ,密码 破解 这 项 拉 术 的 针对 目标 就 是 各 种 各 样 的 加 密 方 式 。 二 者 从 诞生 之 日 起 就 处 
于 针锋相对 的 地 步 。 究 竟 是 密码 这 个 导 绪 实 , 还 是 密码 破解 这 个 下 锋利 ,从 来 就 没有 一 个 定 
论 。 对 于 电子 数据 取证 来 说 ,密码 是 离 真 相 最 近 的 金 钥 匙 ,破解 了 密码 就 意味 着 案件 的 重大 
突破 ,从 而 可 以 挖掘 出 重要 的 线索 。 


6.7.1 BIOS 密码 破解 


1. 清除 CMOS SYSTEM 开机 密码 

打开 机 箱 ,把 电池 取 下 、 正 负极 短 接 , 给 CMOS 放电 ,清除 CMOS 中 的 所 有 内 容 ( 当 然 
也 就 包括 密码 ) ,然后 重新 开机 进行 设置 。 

注意 : 品牌 机 的 CMOS 清除 跳 线 可 能 和 兼容 机 有 差别 ,必须 参照 品牌 机 的 说 明 书 来 解 
决 问题 。 

2. 破解 CMOS SETUP 密码 

方法 1: 进入 系统 ,然后 在 DOS 下 面 启动 DEBUG ,输入 以 下 代码 清除 SETUP 密码 。 

070 16 

071 16 

| 

方法 2: 利用 第 三 方 工具 例如 Cmospwd, 它 支持 Acer、 AMI、 AWARD.、COMPAQ.、 
DELL IBM、PACKARD BELL、PHOENIX、ZENITH AMI 等 多 种 BIOS, 在 DOS 下 启动 
该 程序 ,CMOS 密码 就 会 显示 出 来 。 


6.7.2 操作 系统 类 加 密 的 破解 


以 Windows 为 例 介 绍 此 类 加 密 的 破解 ,取证 实践 中 ,Windows 登录 密码 是 制约 取证 人 
员 进 一 步 在 线 取证 ,仿真 分 析 的 瓶 贷 , 只 有 获得 了 Windows 管理 员 权 限 或 者 破解 了 
Windows 登录 口令 ,取证 人 员 才 可 以 进一步 对 系统 中 的 数据 进行 分 析 .虚拟 仿 真 ,发 现 更 多 


第 6 章 ， 电 子 数据 取证 技术 231 


的 有 价 什 信息。 目前 解决 Windows 登录 黎 码 问题 主要 有 以 下 几 种 方法 : 

1，Windows 壳 伺 重 置 

现在 对 于 Windows 的 用 户 密 码 重 置 已 经 有 了 很 多 工具 ,例如 这 里 推荐 使 用 的 Active 
Password Changer(APC) ,在 网 上 能 够 很 容 多 找到 其 英文 或 者 汉化 版 本 , 它 能 够 完美 文 持 清 
除 Windows 2000/XP/2003/Vista/Win7/2008/Win8 用 户 密 码 , 同 时 支持 32 位 及 64 位 版 
本 操作 系统 。 由 于 APC 不 能 够 直接 运行 在 需要 清除 密码 的 Windows 操作 系统 下 ,所 以 现 
在 主要 使 用 的 有 PE 版 及 DOS 版 ,两 痢 使 用 方式 基本 相同 。APC 文 持 手 动 选 择 Windows 
操作 系统 所 在 的 分 区 或 者 自动 搜索 存在 SAM 文件 的 所 有 硬盘 和 分 区 ,搜索 到 对 应 的 SAM 
文件 后 ,APC 便 可 以 癌 用 户 返 还 可 以 进行 密码 重 置 的 用 户 名 及 描述 ,如 图 6. 103 是 DOS 版 
的 APC 运行 界面 , 选 定 想 要 重 置 的 用 户 密码 后 ,APC 便 可 以 进入 并 修改 SAM 文件 中 的 用 
户 密 人 码 属 性 ,将 密码 清除 。 


Hindows 系 沈 窗 俏 祖 际 v.4. 


用 户 列 素 ; 


SAMNWw 件 踢 笃 : \HINDOHSNSYSTEM32\CONF IG\sanm 


在 三 基 (8) 分 区 (8) 卷 标 4HINXP》 尖 型 :FAT32 


序号 | RID | 用 户 名 


日 000901f4 fdministrator uiiin (Maa os 
1 DBBBB1f5 Guest 中 站 款 让 -Ga 寺 Ri Is 


出 或 按 四 Up“PgDowm 社 滩 动 合 看 用 己 列 家 . 


6.103 Active Password Changer 密码 重 置 


使 用 “Active Password Changer”PE 版 或 DOS 版 v. 4. 0。 


工具 使 用 


2. Windows 千 伺 绕 过 
通过 重 置 Windows 密码 的 方法 取得 Windows 管理 员 账 户 的 控制 权 , 但 是 此 种 方法 的 
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不 足 是 造成 原始 登录 密码 的 清空 ,并 在 一 度 上 破坏 了 用 户 数据 的 原始 性 ,所 以 在 取证 工 
作 中 ,还 有 另外 一 种 Windows 用 户 rp Windows 密码 突破 。 

美国 Kryptos Logic 公司 的 Konboot 月 动 盘 产品 是 一 种 全 新 的 Windows 密 伺 统 过 方 
法 ,该 工具 利用 虚拟 Bios 的 方式 , 仅 需 几 秒 即 可 获得 Windows 管理 员 权 限 ,无 须 密码 即 可 
登录 Windows 账户 ,不 会 对 现 有 系统 造成 更 改 。 使 用 时 , 先 利 用 光盘 引导 系统 ,如 图 6. 104 
所 示 ，。 


» Checking SMAP BIOS entries ... 
» BIUS seems to be ON. 

» Booting upt - EOT 

» Reading original sectort 


6.104 Windows 密码 突破 工具 局 动 界面 


几 秒 之 后 ,目标 计算 机 Windows 正 第 进入 启动 界面 。 启动 结 束 后 ,在 登录 窗口 中 ,无 须 
输入 任何 密码 , 按 回 车 键 即 可 进入 系统 。 该 工具 目前 文 持 的 Windows 版 本 有 : Microsoft 
Windows XP 、Vista 7、 8 .8. 1 Server 2003、2008 各 版 本 (同时 支持 32 位 和 64 位 )。 


6.7.3 文件 类 加 密 的 破解 


Microsoft Office 是 目前 在 各 行 各 业 中 使 用 最 为 三 沁 的 办 公 软 件 , 在 各 类 生 件 中 经 第 过 
到 涉及 加 密 的 Word、Excel 文档 。Office 从 发 展 至 今 已 经 有 了 很 多 的 版 本 ,日 前 第 见 的 版 本 
主要 有 Office 97 .Office 2000 一 2003 .Office 2007、Office 2011 一 2013 版 。 从 各 自 版 本 的 加 
密 强 度 来 分 ,可 以 分 为 以 下 三 类 . 

(1) Office 97 至 2003 版 本 ,此 版 本 文件 扩展 名 为 * .DOC, 可 通过 骏 力 破解 原始 密码 ， 
或 通过 彩虹 表 方 式 快速 破解 。 

(2) Office 2007 ,此 版 本 文件 扩展 名 为 *. DOCX ,无 法 使 用 彩虹 表 或 雷 表 进行 破解 ,可 
通过 骏 力 方式 破解 简单 密码 ,或 通过 GPU 加 速 方式 进行 高 速 破解 。 但 是 破解 非常 复杂 的 
密码 需要 高 性 能 GPU 的 集群 运算 , 且 需 要 大 量 的 时 间 。 
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(3) Office 2011 一 2013 版 ,此 版 本 文件 扩展 名 为 *.DOCX, 破 解 方式 和 Office 2007 版 
本 方式 相同 。 但 是 由 于 此 版 本 加 密 算 法 比 2007 版 本 复杂 一 倍 ,因此 破解 时 间 也 比 2007 版 
本 更 长 。 

文件 类 加 密 ,一 般 使 用 软件 进行 自动 解密 。 例 如 俄罗斯 Passware 软件 公司 是 一 个 研究 
各 类 密码 破解 .恢复 技术 的 专业 软件 公司 ,其 代表 产品 Passware Kit 文 持 对 200 种 以 上 的 
加 密 文 件 的 破解 和 密码 恢复 , 相 比 于 其 他 解密 软件 ,Passware Kit 具有 效率 高 .成 功率 高 ,使 
用 简单 .设置 灵活 的 特点 ,在 国际 市 场 上 广 尝 欢 迎 。 此 方法 对 于 其 他 如 ZIP、RAR、PDF 等 
各 类 加 蜜 文件 的 破解 同样 适用 。 


6.7.4 浏览 器 类 密码 的 破解 


当前 很 多 浏览 带 为 了 更 好 的 用 户 体 验 部 提供 了 日 动 表单 功能 ,用 户 在 浏览 瘟 中 特定 网 
页 上 面 输入 的 用 户 账户 及 密码 ,者 可 以 被 浏览 硕 记 录 并 加 蜜 存储 在 浏览 磊 程 序 文 件 夹 中 ,这 
样 当 下 次 再 进入 这 个 网 页 时 , 训 贤 奉 吉 能 够 月 动 逢 与 相应 的 账户 密 权 。 这 一 功能 大 大 地 方 
便 了 用 户 ,在 另 一 方面 也 为 电子 数据 取证 调查 工作 提供 了 更 多 的 数据 。 

OS Forensics 是 由 PassMark Software 公司 开发 的 一 葡 计 算 机 数据 综合 分 析 软 件 , 除 
了 能 够 做 到 对 浏览 硕 中 残留 的 网 络 历 史记 录 、 下载 记录 等 数据 的 解析 ,还 能 够 对 浏览 硕 的 加 
和 冤 数 据 库 进 行 解 密 , 适 用 的 训 览 盖 包 括 Internet Explorer (4.0 有 版 一 10.0 版)、Mozilla 
Firefox (所 有 版 本 ) Google Chrome、Safari,Opera 和 SeaMonkey。 除 了 对 浏览 如 类 密码 解 
密 之 外 ,OS Forensics 还 文 持 Windows 用 户 账户 密码 获取 、 彩 虹 表 以 及 Office 文档 解密 。 


分 


实战 操作 


使 用 “OS Forensics” 查 看 用 户 在 浏览 问 中 特定 网 页 上 面 输 入 的 用 户 
账户 及 密码 。 


6.7.S 移动 设备 类 窗 码 的 破解 


1，WiFi 密码 破解 

WirelessKeyView 也 是 由 NirSoft 开发 的 男 一 工具 ,专门 用 于 快速 查看 Windows 本 地 
存储 的 WiFi 无 线 网 络 密码 ,使 用 同 WebBrowserPassView 类 似 , 运 行 主 程序 之 后 ,软件 自 
动 从 系统 中 提取 所 保存 的 WiFi 账户 和 密码 ,如 图 6. 105 所 示 。 
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中 2 | 


Fle Edit View Help 


N. #1 KeyType Key (Hex) Key (Ascii) Adapter Name Adapter Guid 

ec.. WPA2-PSK 65636f686f75736500 ecohouse IntelRWif 链接 5100AGN {8B6A9723B-3CA9-406E-9146 
WplHu... WPA2-PpSK 333937393135353500 39791555 Intel(R) WiFi 链接 5100 AGN {B6A9723B-3CA9-406FE-9146- 
WP LUL,. WPA2-pSK 7468487764624e5641724... Microsoft 托管 网 络 虚 拟 适配器 {E4DFEOF6-25E6-4FEO-9E6C- 

的 ) sm.，WPA2-pPSK 383638333338323100 Intel(R) WiFi 链接 5100 AGN {B6A9723B-3CA9-406E-9146- 
Wp sm... WPA2-pSK 383638333338323100 Intel(R) WiFi 链接 5100 AGN {B6A9723B-3CA9-406E-9146- 
plsm... WPA2-psK 383638333338323100 Intel(R) WiFi 链接 5100 AGN {B6A9723B-3CA9-406E-9146- 
WITP-.. WPA2-pSK 6c6e6a6767647a6b78787... Intel(R) WiFi 链接 5100 AGN {B6A9723B-3CA9-406E-9146- 
所 本 


图 6. 105 WirelessKeyView 查看 主机 WiFi 密码 


使 用 WirelessKeyView 查看 主机 WiFi 密码 。 


实践 操作 


2. MDS 密码 破解 

md5online. net 是 一 个 可 以 破解 MD5 密码 的 免费 网 站 。 如 果 遇 到 某 些 MD5 密码 ,可 
以 尝试 利用 该 网 站 进行 破解 ,如 果 无 法 破解 , 青 利 用 其 他 软件 ,或 GPU 分 布 式 密码 破解 的 
方法 进行 肾 击 破解 。 此 类 站 点 较 多 ,可 以 日 常 多 加 关注 ,找到 最 强 的 破解 网 站 。 


使 用 md5online. net 网 站 对 一 个 网 站 密码 的 MD5 哈 希 值 ， 
51{f2b7b14433aa22c67dlf4fc18943cd 进行 解密 。 


实践 操作 


6.8 Office 文件 取证 


Microsoft 公司 开发 的 Office 系列 软件 是 目前 最 流行 的 办 公 软 件 。 占 据 了 办 公 软 件 类 
74.4% 的 市 场 份额 。Office 文件 是 格式 化 的 二 进 制 数据 ,之 中 包含 了 众多 的 信息 ,这 些 重要 
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的 数据 如 何 正 确 提 取 ,一 直 是 数字 取证 的 一 个 难题 。 而 Microsoft 公司 为 了 垄断 市 场 ,阻止 
合理 竞争 ,一 直 对 Office 格式 进行 保密 。 为 了 能 够 解析 Office 文件 其 中 的 数据 ,获取 证 据 ， 
必须 了 解 Office 的 文档 格式 。 


6.8.1 Office 文 件 结构 


Office 系列 中 Word 97 一 2007、 Excel 97 一 2007、PowerPoint 97 一 2007 使 用 微软 的 复合 
文档 结构 。 他 们 的 后 缀 名 分 别 为 doc、xls、ppt， Office 2007 一 2010 系列 又 增加 了 使 用 XML 
(Extensible Markup Language, 可 扩展 标记 语言 ) 技 术 的 docx、xlsx、pptx 格式 。Office 97 一 2007 
文件 使 用 复合 文档 结构 来 存储 数据 。 

微软 复合 文档 (Compound Binary File) 是 微软 公司 制定 的 文件 格式 , 广泛 应 用 于 
Word、Excel 、 PowerPoint 等 办 公文 档 中 ,微软 使 用 “OLE2 Storage File Format” 来 建立 复合 
文档 。 复 合 文 梢 可 以 包含 文本 图形 声音、 视频 .电子 表格 数据 等 各 种 信息 ,这 也 正 是 复合 
的 含义 。 由 于 复合 文档 的 包容 性 ,Windows 的 Thumbs. db 和 腾讯 QQ 的 聊天 记录 文件 都 
使 用 了 复合 文档 结构 。 微 软 在 2008 年 公开 了 Office 2003 一 2007 系列 的 官方 文档 ,但 是 某 
些 的 重要 部 分 仍然 保密 (本 文 将 会 解析 )。 但 是 这 种 保密 ,也 在 某 种 程度 上 保护 了 其 中 的 天 
健 数据 ,使 得 这 些 数据 的 可 信和 度 极 局 。 

复合 文档 由 虚拟 流 (Visual Streams) 组 成 , 复 
全 文档 的 物理 结构 摘 述 的 是 虚拟 流 的 分 配 和 存 伴 
方式 。 复 合 文档 由 固定 大 小 的 扇 区 (Sector) 组 成 ， 
遍 区 大 小 由 文件 头 中 参数 指定 默认 是 512 字 节 。 
第 一 个 肩 区 为 文件 头 。 扇 区 编号 由 0 开始 , 如 


司 区 n( 最 后 一 个 届 区 ) 


图 6. 106 所 示 。 

肩 区 编号 与 扇 区 地 址 的 转换 公式 为 : 扇 区 地 图 6.106 复合 文 符 的 结构 
址 一 ( 扇 区 编号 十 1) X0x200, 这 是 因为 复合 文件 文 
件 头 占用 512 字 节 ,同时 起 始 朵 区 号 为 0, 以 512 字 市 (0x200) 为 肌 区 。 

即使 数据 在 硬盘 上 以 碎片 形态 存在 ,但 是 在 逻辑 上 ,还 是 以 线性 的 虚拟 流 形式 来 首尾 连 
接 。 尽 管 物理 和 虚拟 绪 构 上 ,数据 都 是 以 线性 方式 存放 的 ,局 区 和 虚拟 流 的 单位 都 是 512 字 
节 。 但 是 二 者 是 有 着 截然 不 同 的 区 别 的 : 扇 区 是 数据 存储 的 单位 ,不 需要 知道 数据 的 内 容 
和 指向 ,而 只 需要 按 扇 区 大 小 来 堆 琶 数 据 流 。 而 虚拟 流 不 但 包含 了 数据 流 ,还 包含 了 属性 信 
息 和 结构 信息 ,通过 这 些 信 息 ,将 分 布 在 各 个 扇 区 中 的 数据 逻辑 组 织 在 一 起 ,使 得 扇 区 使 用 
更 加 灵活 。 可 以 说 ,物理 上 的 岂 区 是 死 的 ,而 逻辑 上 的 虚拟 流 则 是 活 的 。 

复合 文档 类 似 一 个 小 型 的 文件 系统 ,按照 虚拟 流 的 不 同类 型 ,复合 文件 的 结构 分 为 几 部 
分 : 文件 头 (Header) 、. 扇 区 分 配 表 (FAT) . 主 扇 区 分 配 表 (DIF) ` 短 流 忆 区 分 配 表 (minifat)、 
目录 流 (Directory) 、 数据 流 。 

目录 流 是 复合 文件 最 基本 的 数据 流 之 一 , 某 些 资料 称 作 存储 (Storage) ,描述 了 复合 文 
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件 的 目录 结构 信息 。Office 系列 中 ,Office 文件 的 属性 都 保存 在 SummaryInforamtion 和 
DocumentSummaryInformation 两 个 日 录 流 指 问 的 数据 流 这 也 是 分 析 Office 内 杉 信 息 
的 关键 。 


6.8.2 Office 文件 取证 


1. 提取 文档 信息 

Office 的 文档 信息 记录 了 文档 编辑 作者 、 创 建 时 间 、 修 改 时 间 、 编 辑 时 长 .打印 时 间 等 重 
要 信息 。 即 使 文档 被 加 密 ,文档 信息 也 仍然 会 以 明文 方式 保存 。 相 对 于 保存 在 分 区 中 的 文 
件 属性 信息 容易 被 干扰 和 自 改 。Office 文档 骨 舱 的 信息 不 为 人 知 , 这 无 疑 对 取证 工作 有 者 
重要 的 现实 意义 。 

微软 的 复合 文档 的 结构 仅仅 是 一 个 杠 杂 。 从 目录 流 开 始 , 其 中 的 目录 除了 根 目录 (Entry 
Root) ,其 他 的 都 可 以 自行 定义 。 例 如 ,Office 文档 信息 主要 保存 在 SummaryInforamtion 和 
DocumentSummaryInformation 两 个 数据 流 中 。 

Summary Information 的 结构 微软 官方 文档 中 没有 提 太 ,经 过 实验 验证 ,其 结构 字段 解 
释 如 下 ,如 表 6. 50 所 示 。 


表 6.50 Summary Information 结构 


Summary Information 结构 


说 明 
0 固定 值 0xFFFE( 大 端 表示 ) ,代表 小 端 字 节 顺序 
0x02 00000 
操作 系统 版 本 ， 低位 为 系统 类 型 ,高 位 为 系统 版 本 。 
2 例如 05 01:05 代表 Windows Server 2003，Windows 
XP、Windows 2000 系列 ,01 代表 Windows XP 


Summary Info 头 操作 系统 类 型 
0: winl6 
Ox06 2 
1 和 Mac 
2:, Win32 


生 式 标识 符 (FMTID) 玖 数目 

以 小 端 表 示 的 格式 标识 和 从 (Format Identifiers， 
FMTID) ,FMTID 由 UUID. LIB 定义 。 详 见 格式 标 
识 符 表 


0x2C 4 第 一 个 属性 相对 于 Summary Information 起 始 的 相 
一 对 偏 移 , 也 就 是 第 一 个 属性 起 始点 位 置 


FMTID 
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Summary Information 结构 


沿 


第 一 个 属性 D, 例 如 0x00000001 一 代码 页 

属性 声明 第 一 个 属性 相对 偏 移 量 (相对 于 属性 声明 起 始 地 址 ) 
第 个 属性 贡 , 例 如 0x00000001 二 代码 页 
第 n 个 属性 相对 偏 移 量 (相对 于 属性 声明 起 始 地 址 ) 
0x## |4 | 属性 类 型 


这 里 取决 于 属性 类 型 ,如 果 属 性 类 型 二 0xlE, 则 属 
第 一 个 属性 0x 划 # 性 值 是 可 变 长 度 。 如 果 属 性 类 型 =0x02 或 者 0x13， 
属性 值 是 4 个 字 市 


三 硬 面 十 硬 量 


由 于 Summary Information 和 Document Summary Information 的 首 两 个 字 节 总 是 固 
定 值 0xFFFE( 大 端 表示 ) ,因此 可 以 在 十 六 进 制 编辑 工具 中 查找 0xFEFF( 小 端 表 示 ) ,间隔 
为 0x40, 就 可 以 找到 这 两 个 数据 流 了 。 表 6.51 为 Summary Information 的 属性 表 。 

表 6.51 Summary Information 的 属性 表 


Summary Information( {f29f85e0-4ff9-1068-ab91-08002b27b3d9) ) 的 属性 表 


属性 名 称 属性 类 型 


代码 页 (Codepage) 0x00000001 0x02 
标题 (Title) 0x00000002 OxlE 
主题 (Subject) 0x00000003 OxlE 
作者 (Author) 0x00000004 OxlE 
关键 词 (Keywords) 0x00000005 OxlE 
备注 (Comments) 0x00000006 OxlE 
模板 (Template) 0x00000007 OxlE 
上 次 保存 者 (Last Saved By) 0x00000008 OxlE 
修订 次 数 (Revision Number) 0x00000009 OxlE 
编辑 时 间 总 计 (Total Editing Time) 0x0000000A 0x40 
打印 时 间 (Last Printed) 0x0000000B 0x40 
创建 时 间 (Create Time/Date) 0x0000000C 0x40 
修改 时 间 (Last Save Time/Date) 0x0000000D 0x40 
页 数 (Page Count) 0x0000000E 0x03 
字数 (Word Count) 0x0000000F 0x03 
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续 表 
Summary Information( {f29f85e0-4ff9-1068-ab91-08002b27b3d9}) ) 的 属性 表 


局 性 各 和 EE 


字符 数 (Character Count) 0x00000010 0x03 
缩 略 图 (Thumbnail) 0x00000011 0x47 
创建 程序 (Creating Application) 0x00000012 OxlE 
安全 (Security) 0x00000013 0x03 


Loacle ID 0x80000000 0xl13 


其 中 : 

(1) 作者 是 文档 创建 者 ,上 次 保存 者 指 的 是 最 后 一 次 修改 者 的 作者 名 。 例 如 ,A 在 月 己 
计算 机 上 创建 了 文档 ,A 将 文档 给 了 B,B 在 日 己 计算 机 上 修改 后 保存 。 那 么 作者 仍然 是 
A, 而 上 次 保存 者 则 是 B。 如 采 在 Office 痛 次 运行 时 没有 指定 ,那么 这 些 字 上 段 将 是 “计算 机 
名 ”( 你 存在 注册 表 中 )。 

(2) 修订 次 数 古 调用 文档 保存 命令 的 次 数 。 

(3) 文档 保存 时 间 在 创建 时 建立 ,随后 将 不 会 被 更 改 。 

(4) 缩 略 图 CThumbnail) 则 是 针对 剪贴 板 ,提供 数据 的 暂 存 。 

(5) 安全 (Security) 标 识 了 文档 的 安全 保护 。0: 不 需要 ; 1: 询问 是 否 只 读 ; 4: 强制 只 
读 ; 8: 不 显示 注释 。 例 如 一 个 测试 文档 的 属性 信息 (图 6. 107) ,对 应 的 是 文件 结构 的 字段 。 


问 | 建 时 间 : ”2011 年 1 月 31 日 17: 42:00 
修改 时 间 : ”2011 年 1 月 31 日 17:44:50 
存 取 时 间 : 2011 年 2 月 4 日 
打印 时 间 : 


上 次 保存 者 : 。 太阳 风 
修订 次 数 ; 2 
编辑 时 间 总 计 : 2 分 钟 


统计 信息 E) | 统计 万 称 


贞 数 : 


图 6.107 测试 文档 属性 
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注意 : 创建 时 间 和 修改 时 间 为 内 衣 时 间 。 而 存 取 时 间 与 访问 时 间 一 致 ,是 从 硬盘 分 区 
表 中 获取 的 。 同 时 每 次 在 Office 中 打开 属性 ,查看 统计 ,就 会 对 当前 的 字数 进行 重新 统计 ， 
字数 和 字符 数 的 相应 数值 都 会 相应 调整 。 

2，Office 临时 文件 

Office 在 编辑 时 ,会 在 后 台 产 生 在 干 临时 文件 。 文 件 名 的 命名 方式 是 一 WLK 井 井 间 
# .doc, 如 果 文 件 正 和 常 关 闭 , 这 个 临时 文件 将 会 被 删除 。 如 果 文 件 被 非 正 常 关闭 ,这 个 临时 
文件 将 会 被 保留 在 人 硬盘 中 。 因 此 , 当 源 文件 被 删除 或 者 移 际 后 ,可 以 搜索 相应 的 临时 文件 。 
临时 文件 的 格式 与 源 文件 一 致 ,可 以 通过 Unicode 编码 查看 ,如 图 6. 108 所 示 。 


:| 且 Text| 量 hex LDoc 芥 mansaipt 国 Picture 国 Report 回 console 性 Details 训 Output 口 Lodk 口 codepage 口 0/2 


加 case 1\pisk ImageWnallocated Clusters (PS 5 LS 5 CL 5 SO 000 FO 2560 LE 42) 
图 6.108 Office 临时 文件 的 内 容 


3. 2007-2010 XML 结构 分 析 

Word/Excel/PowerPoint 2007-2010 的 格式 来 用 了 XML( 可 扩展 标记 语言 ) 结 构 , 同 时 
仍然 对 于 传统 的 Word 2003 结构 进行 支持 。 实 际 上 ,尽管 Word/Excel/PowerPoint 2007- 
2010 的 后 缀 是 “docx” “xlsx” 和 “pptx”, 但 是 它们 是 压缩 文件 包 。 通 过 解压 缩 工 具 例 如 
WinRAR ,就 可 以 浏览 内 部 的 结构 。 以 Word 2007 的 docx 文档 为 例 ( 见 图 6. 109) 。 


泡 测试 doccdocx - WinRAR 


总 计 3 文件 夹 和 1312 字 节 (1 4 


图 6.109 Word 2007 的 docx 文档 
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Word 目录 中 存放 的 是 文档 正文 ,使 用 Unicode 编码 , Word 中 插入 的 图 片 放置 在 word 
\media 目录 中 。DocProps 目录 的 core. xml 和 app. xml 中 存放 的 是 文档 属性 ( 见 表 6. 52)。 


表 6.52 文档 属性 


属 性 说 明 
title 标题 
subject 
creator 
company 
Keywords 键 词 
lastModiftiedBy 上 次 保存 者 
RKevision 修订 次 数 
Created 创建 时 间 (64 位 Windows 时 间 格 式 ,GMT) 
Modified 修改 时 间 (64 位 Windows 时 间 格 式 ,GMT) 
pages 页 数 
words 字数 
Characters 字符 数 
CharactersWithSpace 市 空格 的 字符 数 
lines 行 数 
Application 创建 程序 
DocSecurity 安全 


以 一 个 测试 文档 . docx 为 例 ( 图 6. 110): 


<?xmMl verslon="1.0” encodimng="UTF-8" standalone="yes” ?> 
- <cp:coreProperties xmIns:cp="http:/ /schemas.openxmlformats.org/package/2006,/metadata/co 
xmins:dcmtype="http:/ /purl.org/dc/dcmitype/” xmlIns:xsi="http:/ /www.w3.0rg/2001/XMLSChe 
<dc:title> 这 是 一 个 融 坛 文档 ， 使 用 docx 格 式 <dc:title> 
<dc:subject /> 
<dc:creator>USER</dc:creator> 
<cp:keywords /> 
<dc:description /> 
<cp:lastModifiedBy >USER</cp:lastModifiedBy > 
<cp:revision>2</cp:revisioNn> 
<dcterms:created xsi:type="dcterms:W3CDTF">2011-02-04T09:29:00Z </dcterms:created> 
<dcterms:modified xsi:type="dcterms:W3CDTF">2011-02-04T09:31:007</dcterms:modified> 
</cp:coreProperties> 


6.110 测试 文档 . docx 的 结构 


0 . 8 . 3 小 、 结 


针对 Office 文件 的 调查 ,长久 以 来 一 下 集中 于 其 中 的 凡 容 搜索 或 者 恢复 。 这 类 拉 术 目 
前 已 经 非常 成 熟 。 但 是 Office 文件 内 钥 的 诸多 信息 , 却 被 经 常 忽 略 。 这 些 信息 由 于 不 可 得 
改 性 ,往往 具备 很 高 的 证 据 效 力 。 通 过 Office 文件 内 艇 信息 的 分 析 , 可 以 获取 诸多 不 为 人 
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注意 的 重要 信息 ,能 够 为 网 络 案件 的 侦查 提供 重要 帮助 。 
6.9 ”数字 图 像 取 证 


6.9.1 数字 图 像 取 证 简 述 


数字 图 像 , 指 的 是 数字 化 的 图 像 。 数 字 图 像 三 沁 地 使 用 在 计算 机 应 用 和 网 络 传输 中 。 
数字 图 像 由 种 类 和 澡 多 的 输入 设备 和 技术 生成 ,例如 数码 相机 ,扫描 仪 , 手 机 ,图像 处 理工 具 
等 。 数 字 图 像 格 式 包括 BMP.、GIF、JPEG .PNG 等 。 

数字 图 像 的 取证 主要 针对 图 像 本 身 元 数据 (meta data) ,通过 对 元 数据 的 提取 和 分 析 ， 
来 证 明 图 像 的 基 实 性 和 完整 性 。 由 于 数字 图 像 的 种 类 汉 多 ,本 万 仅 针 对 EXIF 类 的 数字 图 
像 的 取证 进行 讲解 。 


6.9.2 数字 图 像 取证 与 声 像 资料 取证 的 区 别 


声 像 资 料 主要 通过 内 容 的 分 析 , 声 音 、 影 像 的 破 实 性 取证 。 而 数字 图 像 取 证 主要 针对 的 
是 数字 图 像 的 电 了 于 数据。 这 些 数 据 中 往往 包含 了 数字 图 形 的 多 种 属性 和 配置 信息 ,能 够 为 
电子 数据 取证 提供 重要 信息 。 


6.9.3 数字 图 像 的 文件 命名 规律 


照相 机 文件 系统 命名 规则 (Design rule for Camera File system,DCF) 是 日 本 电子 工 
业 发 展 协会 (JEIDA) 制 定 的 ,用 于 定义 数字 照相 设备 保存 文件 命名 规则 的 一 个 标准 。 主 要 
定义 了 目录 绪 构 .命名 方式 .文件 格式 等 。DCF 标准 最 新 版 本 是 2. 0。 

文件 格式 ,DCF 标准 定义 其 存储 介质 必须 为 FAT12、FAT16、 FAT32 或 exFAT 格式 
的 存储 更 。DCF 定义 保存 的 文件 为 只 读 属 性 ,防止 文件 被 恶意 贷 改 。 

DCF 定义 数字 照相 设备 保存 的 文件 必须 在 名 为 "DCIM”(Digital Camera Image) 目录 
下 。 可 以 包含 多 个 子 目 录 ,命名 格式 可 以 为 "123ABCDE”, 命 名 规则 为 3 位 数字 (100 一 999 ) 
加 上 5 位 字母 。 目 录 中 的 图 像 文 件 的 命名 方式 为 “前缀 十 ADCD1234. JPG”。 前 级 可 能 为 
“"DSC ","DSC0" ,"DSCEF" ,"IMG "/ "MOV " ,or "P000"”, 


。 Root( 根 目录 ) 
。 DCIM( 目 录 名 ) 


。 100ABCDE( 子 目录 ) 


DD http://www. jeita. or. jp/japanese/ standard/book/CP-3461B _J/ 
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ABCD0001. JPG 

ABCD0002. JPG 

ABCDo003. TIF 
ABCDo003.THM( 缩 略图 文件 ) 
ABCDo004. WAV 

ABCDo005. JPG 

ABCDo005. WAV 


ABCD9999. JPG 
README. TX%T 


999ABCDE(a DCF directory) 
* ABCD0001. JPG 


.tc 


例如 一 个 iPhone 手机 中 的 图 片 目录 ( 见 图 6.111) 。 


刘 尘 阳 的 iPhone ， Internal Storage ， DCIM 


名 称 = 并 

见 829TVJGY 文件 夹 
MW B88DLTJK 攻 件 过 
961ABKNB 区 性 去 
996JAQMH 六 件 过 


图 6.111 iPhone 手机 中 的 图 片 存 储 目录 


6.9.4 数字 图 像 的 格式 (EXIF) 


1. EXIF 简介 

可 交换 图 像 文件 格式 (Exchangeable Image File Format,EXIF) 是 由 日 本 电子 工业 发 展 
协会 JEIDA) 制 定 的 一 项 标准 ,目前 最 新 的 版 本 是 2. 3 了 (CP-3451C)。 这 项 标准 定义 了 由 数 
字 设 备 拍摄 或 制作 的 图 形 、 音 频 的 元 数据 信息 。EXIF 应 用 于 JPEG 、TIFF、RIFF、WAV、 
MOV 等 文件 中 ,但 是 不 适用 于 JPEG2000、PNG.、GIF 图 形 文件 。 

EXIF 记录 了 数码 设备 在 拍摄 中 附加 的 各 种 信息 。 这 些 信息 存储 在 图 像 文件 的 头 部 ， 
以 各 种 参数 形式 保存 。 主 要 包括 拍摄 时 的 光圈 ,快门 .ISO, 日 期 时 间 等 信息 ,还 包括 设备 名 
称 、 型 号 .GPS 等 重要 信息 。 


D http://www. jeita. or. jp/jJapanese/standard/book,/CP-345]1C_E/ 
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对 于 取证 有 用 的 信息 主要 有 : 

(1) 时 间 信 息 : 数字 设备 拍摄 或 者 记录 时 ,保存 在 元 数据 中 的 拍摄 时 间 ,修改 时 间 等 时 
间 信 息 ; 但 是 不 记录 时 区 信息 。 

(2) 图 像 信 息 : 高 度 和 宽度 分辨 率 .压缩 座 等 信息 。 

(3) 设备 参数 : 包括 摄像 机 的 品牌 .型 号 .拍摄 参数 。 

(4) 地 理 信息 : 全 球 卫星 定位 信息 (GPS) 。 

(5) 缩 略 图 : 可 以 有 JPEG,RGB TIFF,YcbCr TIFF 三 种 格式 的 缩 略 图 。 

除 此 之 外 ,还 可 能 会 有 版 权 信 息 .关键 词 。 

如 条 一 个 嫌疑 人 使 用 照相 设备 拍摄 照片 ,可 能 会 在 图 像 中 能 人 EXIF 标准 信息 。EXIF 
信息 中 保存 的 设备 信息 可 以 确定 拍摄 设备 ,GPS 信息 可 以 确定 拍摄 地 点 。 这 无 疑 都 是 非常 
有 用 的 信息 。 

2. JPEG 文件 解析 

以 最 备用 的 JPEG 文件 为 例 。JPEG 图 像 存 储 格式 是 一 个 比较 成 熟 的 图 像 有 损 压 缩 格 
式 ,虽然 一 张 图 片 经 过 转化 为 JPEG 图 像 后 ,一些 数据 会 丢失 ,但 是 ,人 眼 是 很 不 容易 分 辨 出 
来 这 种 差别 的 。 也 就 是 说 ,JPEG 图 像 存 储 格式 既 满 足 了 人 有 眼 对 色彩 和 分 辨 率 的 要 求 , 又 适 
当 去 除了 图 像 中 很 难 被 人 眼 上 所 分 辨 出 的 色彩 ,在 图 像 的 清晰 与 大 小 中 JPEG 找到 了 一 个 很 
好 的 平衡 点 ,因此 JPEG 在 互联 网 和 计算 机 应 用 得 到 了 极 大 的 普及 。EXIF 实际 是 在 文件 文 
件 头 信息 中 增加 了 有 关 担 摄 信息 的 内 容 和 索引 图 等 信息 的 JPEG 图 像 格 式 。 目 前 ,大 多 数 
电子 设备 的 JPEG 图 像 格式 都 遵守 EXIF 格式 。 

JPEG 以 “0xFF * x* ”表示 JPEG 信息 数据 段 ,被 称 为 “应 用 标记 ”, 一 般 为 0xFFE0- 
0xFFEF 之 间 。JPEG 文件 以 十 六 进 制 “0xFFD8” 开 始 , 以 “0xFFD9” 结 束 。“0xFFD8” 表 示 
SOI(Start of image 图 像 开 始 ),“0xFFD9” 表 示 EOI(End of image 图 像 结 束 )。 这 两 个 特殊 
的 标志 没有 附加 的 数据 ,而 其 他 的 有 些 图 像 使 用 JFIF (JPEG File Interchange Format， 
JPEG 文件 交换 格式 ) 来 存储 图 像 。JFIF 使 用 APP0(0xFFE0) 标记 来 保存 照相 机 的 配置 信 
和 县 和 缩 略 图 。 目 前 , 广 为 流 行 的 EXIF 也 使 用 应 用 标记 来 插入 数据 ,但 是 EXIF 使 用 APPI1 
(0xFFE1) 标 记 来 避免 与 JFIF 格式 的 冲突 ,如 表 6.53 所 示 。 

表 6.53 JPEG 数据 结构 
SOI 标记 APP1 数据 域 (TIFF 格式 ) 其 他 数据 
FFD8 数据 长 度 (2 字 节 ) 十 数据 (N 字 节 ) | | 


JPEG 图 像 文 件 从 SOI(C0xFFD8) 标 记 开 始 , 表 明 它 是 一 个 JPEG 文件 。 后 跟着 APP1 
标记 (0xFFE1) ,表明 它 符 合 EXIF 规则 。 所 有 EXIF 数据 都 被 存储 在 APP1 数据 域 中 。 
APP1 数据 域 (EXIF data area) 的 前 两 个 字 节 表明 数据 域 的 长 度 。 在 后 面 跟随 的 是 APPI1 
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的 数据 。 其 中 第 一 个 部 分 是 一 个 特殊 的 数据 , 它 用 来 标识 是 否 是 EXIF ,其 值 是 ASCII 字符 
“EXIF” 和 两 个 0x00 字 节 的 组 合 字 符 串 。 在 APP1 标记 域 的 后 面 是 其 他 的 JPEG 标记 和 具 
体 的 EXIF 数据 。EXIF 使 用 TIFF 格式 来 存储 数据 。 

3. TIFF 格式 

(1) TIFF 头绪 构 

TIFF 格式 中 前 8 个 字 节 是 TIFF 头 。 其 中 最 开始 的 前 2 个 字 市 定义 了 TIFF 数据 的 
字 节 有 顺序。 如 宋 这 个 值 是 0x4949 二 “11” 的 话 , 就 表示 EXIF 以 小 端 字 节 顺序 保存 数据 。 如 
条 是 0x4D4D 二 “MM”, 则 表示 以 大 端 字 节 顺 序 来 保存 数据 。 随 后 的 两 个 字 市 是 一 个 2 字 节 
长 度 的 固定 值 0x002A。 如 果 数 据 使 用 小 端 宇 市 顺序 存储 , 则 这 两 个 字 节 的 数据 排列 为 
“0x2A00”。 如 果 是 大 端 字 节 顺 序 存储 则 是 “0x002a”。TIFF 头 的 最 后 的 4 个 字 节 是 到 第 
一 个 IFD(CImage File Directory, 图 像 文 件 目录 ) 的 偏 移 量 。 这 个 偏 移 量 是 指 从 TIFF 头 
(“I 或 者 "MM”) 开 始 , 到 下 一 个 IFD 为 止 的 长 度 的 字 节 数 。 通 背地 第 一 个 IFD 是 紧 挨 
着 TIFF 头 出 现 的 ,因此 这 个 偏 移 量 的 值 是 “0x00000008”, 如 表 6. 54 所 示 。 

表 6.54 TIFF 头 结构 
字 节 顺序 标志 到 第 一 个 IFD 的 偏 移 量 


«] I”or “MM” 0x002a 0x00000008 


(2) IFD: 图 像 文件 目录 

TIFF 头 之 后 ,就 是 第 一 个 IFD 图 像 文件 目录 (Image File Directory)。 它 包 信 了 图 像 
元 数据 的 基本 信息 。 其 中 两 个 字 节 ,表示 在 IFD 中 有 多 少 个 目录 项 (Cdirectory entry) 。 目录 
项 在 其 之 后 顺序 排列 。 在 最 后 一 个 目录 项 之 后 ,有 一 个 4 个 字 节 大 小 的 数据 保存 着 下 一 个 
IFD 的 俩 移 量 。 如 条 这 个 人 是 "0x00000000”, 则 表示 它 是 最 后 一 个 IFD 并 且 关 财 IFD。 

目录 项 (每 个 项 目 大 小 为 12 字 广 ) 的 结构 为 ,2 个 字 节 是 一 个 组 件 代码 ,代表 数据 的 类 
型 。2 个 字 节 表示 数据 的 格式 ,4 个 字 节 表示 组 件 的 数量 ,4 个 字 节 保存 数据 的 值 或 者 数据 
值 的 偏 移 量 ，。 

在 EXIF 格式 中 ,IFD 顺序 排列 ,第 一 个 IFD 是 IFD0( 主 图 像 I[FD), 它 连接 到 IFD1( 缩 
略图 IFD) ,一 般 IFD 连接 在 此 结束 。 但 是 IFDOVIFD1 不 包含 任何 的 数码 相机 的 信息 例如 
快门 速度 ,焦距 等 。IFD0 总 是 包含 一 个 特殊 的 标签 EXIF 偏 移 量 (0x8769), 它 表示 到 EXIF 
子 IFD 的 偏 移 量 。EXIF 子 IFD( 见 表 6.55) 也 是 一 个 IFD 格式 化 的 数据 , 它 包 含 了 数码 相 
机 的 信息 。 


四 http://partners. adobe, com/asn/developer/PDFS/TN/TIFFS. pdf 
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表 6.55 EXIF 子 IFD 结构 


目录 项 的 数量 | 2 字 市 


项 目 0(12 字 节 ) | 组 件 代码 (2 字 节 ) | 数据 类 型 (2 字 节 ) | 组件 数量 (4 字 节 ) | 数据 或 者 偏 移 量 (4 字 节 ) 


项 目 1(12 字 节 ) | 组 件 代码 (2 字 节 ) | 数据 类 型 (2 字 节 ) | 组件 数量 (4 字 节 ) | 数据 或 者 偏 移 量 (4 字 节 ) 


[站 [让 


项 目 N-1(12 至 
他) 

到 下 一 个 IFD 的 
偏 移 量 


组 件 代 码 (2 字 节 ) | 数据 类 型 (2 字 节 ) | 组 件数 量 (4 字 节 ) | 数据 或 者 偏 移 量 (4 学 市 ) 


4 学 节 


6.9.5 EXIF 分 析 


EXIF 分 析 见 图 6. 112 和 图 6. 113 。 


海 技 高 医 33.2 米 (108.94 英 朋 ) 
淤 接 高 度 参 考 高 于 海平 面 
日 期 吕 2015 年 6 月 2 日 

目的 指向 90.075 
目的 指向 参考 真 方向 

图 像 方向 270.075 
图 佑 方向 参 务 正 北 
综 医 RA? 9 99 只 号 机 
经 本 121° 31) 66.322" EE 


大 巡 


针 


在 "地 图 "中 押 示 | 移 除 位 置 信 品 


“hh 


图 6.112 显示 EXIF 信息 的 图 片 


246 电子 数据 取证 


DffFSet 0 1 2 3 4 5 6 7 8 9 10 ii i2 i13 i4 15 

D0000000 FF DB FF El 3F FE 45 78 69 bb O00 Do 4D 4D O00 22a vowvarbEzif. .hd .= 
D00000016 (00 00 bu 08 00 0B bl OF 00 O02 00 O00 00 bb O00 O00 .un 
00000032 00 92 01 to 00 O02 00 00 00 0E bb bo 98 O01 12 sos， 1.. 
00000048 |00 03 00 00 00 01 00 01 00 00 01 1A 00 05 00 00 | 
UUUUUU64 00 UL UU UU O00 A6 UL lB O00 Us O00 O00 UU UL O00 O00 ,..,.., a 


D00000080 00 AE bl 28 00 03 00 bo 00 01 oo 02 bo 00 Dll 31 | ,加 。 us， 1 
UUUUUUS6 00 O02 O00 O00 O00 O06 00 OU OU B6 O01 3e O00 U2 O00 O00 ......... 和 
D0000112 oo 14 bu bu 00 BE bc 13 O00 03 00 O00 00 UL O00 O01 | ..... Ls 
D00000128 |00 00 87 pg 00 04 00 O00 00 01 O00 O00 00 D0 88 25 | .Ii......... DI 
00000144 00 04 bo 00 00 O01 00 00 06 86 00 O00 O07 2&8 41 70 ......... 1... Lp 
0000160 70 BC bs O00 69 50 68 BF BE 65 20 36 20 50 BC 73 ple.iPhone 6 Plu 
00000176 | 73 00 00 bb 00 48 00 bo 00 ol oo bb bo 48 00 00 8&8....H....... H.. 


00000192 |00 O01 38 2E 31 2E 31 O00 32 30 31 35 38 30 36 3A ds 2015: 06: 
UUUUUe<b0b 30 Je 20 431 38 3A 34 431 da 35 36 OU UU <U S82 3 02 lg:41:56.. [11 


00000224 |00 05 00 00 00 01 00 00 O02 56 82 9D 00 05 00 00 | ......... Vi 
D0000240 00 O01 00 O00 O02 5E 88 22 O00 03 00 00 00 01 O00 O02  ..... el 
00000256 00 oo 88 27 00 03 00 O00 00 OW@ oo 28 00 00 30 00 ..1'..... .i 
00000272 ou O07 bu bb 00 04 30 32 32 31 30 03 00 02 00 O00  ...... O022l1...... 
00000288 |00 14 00 00 0< 66 30 04 00 O02 00 00 00 14 00 00  ...,.. 人 
00000304 Do2 7& 391 Dl 00 07 00 00 00 04 Di bz 03 00 92 01 27... 
00000320 |00 oa 00 00 00 01 00 00 Oz 8E 92 02 00 05 00 00 .dd ...，， 
00000336 00 01 00 00 O02 36 32 03 00 OA oo 00 O00 01 oo 00 ...,.. | ..,.....，,， 
00000352 |02 9E 92 04 00 OA 00 00 00 01 00 O00 02 ab 92 07 | ,ss 
D0000368 | 00 93 bu bu 00 O01 00 bs DO 00 se O09 00 03 00 O00 .os ee 
D00000384 | 00 01 00 18 O00 O00 92 ba 00 05 00 00 00 01 O00 O00  ...... 和 
00000400 |02 AE 32 14 00 03 00 00 00 04 00 00 02 B6 92 7C | .BH.,......... q 玫 ”| 
00000416 (00 O07 bo 00 03 ?A 00 00 bz BE 92 91 00 O02 00 O00 ..... ,人 , 
00000432 |00 04 39 37 31 00 932 32 00 O02 00 O00 00 04 39 37 | ,9971 son 97 


图 6.113 例 图 的 数据 内 容 


查看 数字 图 像 的 EXIF 信息 既 可 以 使 用 系统 自 带 的 工具 ,例如 “照片 
查看 器 ”( 属 性 ), 叉 可 以 使 用 EXIF View 等 专用 工具 。 


工具 使 用 


6.10 病毒 和 恶意 代码 取证 


恶意 代码 是 电子 数据 取证 的 功能 性 分 析 中 遇 到 频率 最 多 的 文件 之 一 ,其 中 内 散 的 丰富 
信息 ,由 于 不 可 算 改 ,有 关 很 高 的 证 据 效 力 。 但 是 tld ta 
析 和 人 分析。 本 而 的 教学 目的 是 通过 介绍 恶意 代码 的 分 析 技 术 , 以 达到 这 入 学 习 恶 意 代 人 码 取 
证 的 目的 。 


6.10.1 恶意 代码 简介 


亚 意 代码 也 可 以 称 为 Malware, 随 着 网 络 和 计算 机 技术 的 快速 发 展 ,恶意 代码 的 传播 速 
度 也 已 超出 人 们 想象 ,特别 是 人 们 可 以 直接 从 网 站 获得 恶意 代码 源码 或 通过 网 络 交 流 代 码 。 
很 多 编程 爱好 者 把 自己 编写 的 恶意 代码 放 在 网 上 公开 讨论 ,发 布 自己 的 研究 成 果 , 直 接 推动 
了 恶意 代码 编写 技术 发 展 。 
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1. 恶意 代码 类 型 
目前 网 络 上 流行 的 恶意 代码 及 其 变种 层出不穷 ,攻击 特点 多 样 化 。 主 要 有 以 下 几 种 类 
型 ,如 表 6.56 所 示 。 
表 6.56 恶意 代码 类 型 


恶意 代码 名 称 类 型 及 主要 特征 
计算 机 病毒 需要 宿主 ; 可 自动 复制 

蠕虫 独立 程序 ; 可 自动 复制 ; 人 为 干预 少 
恶意 移动 代码 由 轻 量 级 程序 组 成 ; 独立 程序 

后 门 独立 程序 或 片段 ,提供 人 侵 通 道 
特洛伊 木马 一 般 需 要 宿主 ; 隐藏 性 较 强 
Rootkit 一 般 需 要 和 宿主; 蔡 换 或 修改 系统 状态 
组 合 恶意 代码 上 述 几 种 技术 的 组 合 以 增强 破坏 力 


2. 恶 半 代码 取证 特点 
(1) 高 度 的 加 密 性 和 隐 菩 性 ; 
(2) 证 据 的 可 菲 性 ,封闭 结构 使 得 证 据 效 率 大 为 提高 。 
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对 恶意 代码 进行 取证 ,实际 就 是 对 恶意 代码 进行 分 析 , 了 解 代码 的 行为 意图 ,掌握 其 特 
征 信息 ,为 下 一 步 的 恶意 代码 检测 .预防 和 清除 提供 依据 。 分 析 亚 意 代 码 可 分 为 静态 分 析 和 
动态 分 析 两 类 。 现 有 的 沙 箱 技 术 和 HIPS 技术 能 自动 化 地 去 截获 代码 的 操作 行为 ,如 修改 
注册 表 .和 舍 改 文件 等 ,但 是 自动 化 的 检测 分 析 系 统 还 是 无 法 取代 传统 的 手工 分 析 , 因 为 恶意 
代码 可 能 具备 有 反 分 析 的 功能 ,如 定时 条 件 触发 .虚拟 环境 检测 等 技术 。 

1 静态 分 析 拉 术 

静态 分 析 技 术 是 指 在 不 执行 二 进 制 程序 的 条 件 下 进行 分 析 , 如 反 汇 编 分 析 , 源 代码 分 
析 ,二 进 制 统计 分 析 , 反 编译 等 ,属于 道 向 工程 分 析 方 法 。 静 态 分 级 技术 主要 分 为 以 下 几 类 

(1) 静态 反 汇 编 分 析 , 是 指 分 析 人 员 借 助 调试 器 来 对 而 已 代码 样本 进行 反 汇 编 出 来 的 程 
序 清单 上 根据 汇编 指令 码 和 提示 信息 着 手 分 析 。 最 常用 的 反 汇 编 分 析 工 具有 “IDA Pro”。 

(2) 静态 源 代码 分 析 ,在 拥有 二 进 制程 序 的 源 代码 的 前 提 下 ,通过 分 析 源 代码 来 理解 程 
序 的 功能 .流程 .逻辑 判定 以 及 程序 的 企 岁 等。 

(3) 反 编 译 分 析 , 是 指 经 过 优化 的 机 器 代码 恢复 到 源 代码 形式 ,再 对 源 代码 进行 程序 执 
行 流 程 的 分 析 。 

2. 动态 分 析 技 术 

对 于 有 些 恶 意 代码 采用 了 加 壳 .变形 等 技术 ,增加 了 静态 分 析 技 术 难 度 ,动态 分 析 技 术 
成 为 研究 热点 。 动 态 分 析 技 术 是 指 恶意 代码 执行 的 情况 下 利用 程序 调试 工具 对 恶意 代码 实 
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施 跟 踊 和 观察 ,确定 恶意 代码 的 工作 过 程 对 静态 分 析 结 果 进 行 验 证 。 动 态 分 析 技 术 主 要 分 
为 以 下 几 类 . 

(1) 系统 调用 行为 分 析 方 法 

正常 行为 分 析 常 被 应 用 于 异常 检测 之 中 ,是 指 对 程序 的 正常 行为 轮 廊 进行 分 析 和 表示 ， 
为 程序 建立 一 个 安全 行为 库 , 当 被 监测 程序 的 实际 行为 与 其 安全 行为 库 中 的 正常 行为 不 一 
致 或 存在 一 定 差异 时 , 即 认 为 该 程序 中 有 一 个 异 营 行为 ,存在 潜在 的 恶意 性 。 

恶意 行为 分 析 则 常 被 误 用 检测 所 采用 ,是 通过 对 恶意 程序 的 危害 行为 或 攻击 行为 进行 
分 析 , 从 中 抽取 程序 的 恶意 行为 特征 ,以 此 来 表示 程序 的 恶意 性 。 

(2) 启发 式 扫 描 技术 

启发 式 扫描 技术 是 为 了 弥补 被 广泛 应 用 的 特征 码 扫 摘 技 术 的 局 限 性 而 提出 来 的 。 其 中 
启发 式 是 指 “ 月 我 发 现 能 力 或 运用 某 种 方式 或 方法 去 判定 事物 的 知识 和 技能 ”。 


6.10.3 恶意 代码 分 析 实 例 


以 动态 分 析 为 例 ,讲解 恶意 代码 分 析 实 例 : 

(1) 虚拟 环境 介绍 

Vmware Workstation 10.0.0: 恶意 代码 有 具有 很 强 的 破坏 性 和 传播 性 ,为 了 系统 的 安 
全 ,所 以 实例 的 分 析 均 在 虚拟 机 下 进行 。 所 用 虚拟 机 版 本 为 10. 0.0 build-1295980。 

Microsoft Windows 7 旗 向 版 6.1.7601 Service Pack 1 Build 7601: 所 用 操作 系统 为 
Windows 7 64 位 旗舰 版 ,并 打 了 微软 发 布 的 补丁 。 

(2) 取证 软件 介绍 

Autoruns: 查看 哪些 程序 被 配置 为 在 系统 司 动 和 您 登录 时 月 动 司 动 。Autoruns 也 可 
器 您 显示 注册 表 和 文件 位 置 的 完整 列表 ,应 用 程序 可 在 此 配置 自动 局 动 设置 。 

Filemon: 此 监视 工具 使 您 可 以 实时 查看 文件 系统 的 所 有 活动 。 

Handle: 此 易 用 命令 行 实 用 工具 将 显示 哪些 进程 打开 了 哪些 文件 ,以 及 更 多 其 他 信息 。 

ListDLLs: 列 出 所 有 当前 加 载 的 DLL ,包括 加 载 位 置 及 其 版 本 号 。2.0 版 将 打印 已 加 
载 模块 的 完整 路 和 任 名 。 

Process Explorer: 找 出 进程 打开 了 哪些 文件 .注册 表 项 和 其 他 对 象 ,已 加 载 哪些 DLL 
等 信息 。 这 个 功能 异常 强大 的 实用 工具 甚至 可 以 显示 每 个 进程 的 所 有 者 。 

Process Monitor: 实时 监视 文件 系统 .注册 表 进程 .线程 和 DLL 活动 。 

Regmon: 此 监视 工具 使 您 可 以 实时 查看 注册 表 的 所 有 活动 。 当 我 们 通过 静态 分 析 无 
法 取得 有 用 的 信息 时 ,这 可 能 是 因为 代码 被 加 蜜 或 变形 处 理 ,动态 分 析 技 术 就 必 不 可 少 。 

TCPView: 是 查看 端口 和 线程 的 。 只 要 木马 在 内 存 中 运行 ,一 是 会 打开 某 个 闪 口 ,只 要 
黑客 进入 你 的 电脑 ,就 有 新 的 线程 。 

以 上 软件 选 自 微软 系统 工具 套装 (Windows Sysinternals Suiteb), 所 以 安全 性 和 


由 http://technet. microsoft. comy en-us/ sysinternals/bb842062 
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Windows 系统 兼容 性 都 很 高 ,在 动态 分 析 软 件 时 ,可 以 有 效 地 检测 到 进程 的 运行 状态 ,文件 
的 生成 修改 情况 和 网 络 通信 IP 和 端口 的 连接 状态 。 


笔记 本 电脑 里 发 现 木 马 ,里 面 很 有 可 能 保存 者 黑客 配置 的 上 线 信 息 ， 
将 木马 文件 提取 到 我 们 准备 好 的 虚拟 机 环境 中 进行 动态 分 析 。 


场景 应 用 


准备 工作 

干净 的 虚拟 机 Windows 7 系统 ,关闭 系统 自动 升级 功能 。 准 备 好 监测 工具 : Process 
Monitor、TCPView 和 Autoruns 三 个 工具 。 使 用 Autoruns 查看 当前 系统 原始 启动 项 ,以 
便 后 面 比 对 使 用 ,打开 Process Monitor 和 TCPView 监测 软件 ,确认 功能 正常 。 

区 开始 运行 木马 分 析 

手工 双击 运行 Server. exe 木马 程序 ,可 以 在 Process Monitor 中 查看 到 Server. exe 的 工作 
流程 ( 见 图 6. 114 一 图 6. 124) 。 


Bh a 


Fle Edit Event Filter Tools Options Help 


成 加 | 策 区 区 | 字 二 二 | 的 羽 


Time of Dayr Frocess Hame PlID Dperatlon Path 


:53. 4640212 : 沪 Server. exe 2056 pd Imagee C:\Users\Jun‘Desktor 
'. 464095T7 时 . . EXE 2056 包 Load Image C:\WindowsSystem32" 
22:00:53. 4641522 B'Server. exe 2056 局 ,CreateFile C:\Windows‘Prefetch' 
22:00:53. 4644518 Server, exe 2056 国 .CreateFile C: “Users‘Jurn\Desktor 
22:00:53. 4645827 B'Server. exe 2056 证 Load Image C:\Windows"System32" 
22:00:53. 4647BTT B'Server. exe 2056 Load Image C:\Windows\System32" 
po:nhn.sS3 dRSdqRd Sorior ave pnSR 上 Ron。1，。 HET MVSNFTWARF PAli ni 
6.114 启动 Server. exe 进程 PID 为 2056 
吉 直 导 万 上 赴 司 一 一 [= 和 = [| EW WwW UI | = 1 = 时 用 二 贻 L 四 业 上 LULULITNT 所 La EG 时 用 法 人 加 。 IE 
S92379 BServer. exe 2056 国 .QueryllameInformationFile C:\Windows"Swstem32"shell32. dl 
592599 BServer. exe 2056 时 guerylan elnftormationFile C:\WindowsSsystemde msetf. 1 
592816 lServyer. exe 2056 国 , guaryHan elnformationFile C:\WindowsSyvstemd eaplisetschema, 1 
593135 PServer. exe 2056 了 Process Exit ee 
;593752 Server. exe 2056 国 .CloseFile CUsers\JTun\DesktopTools 
593914 Server. exe 2056 车 RegrLoseKey HEINN\System\CurrentControlSet\Control] \Mls\Sortine\Versions 
;594440 BServer. exe 2056 本 ReatloseKer EIN 
S5944859 B'Server. exe 2056 二 RealloseKey HELNN\System\CurrentControlSet\Control ‘SESSION MANAGSER 
i302664 装 :Server. exe 2840 甘 Process Start 二 
i302736 B'Server. exe 2840 二 Thread [reate 
1328602 BServer. exe 2840 鲁 Load ImaEe C:\Users\Jun\Desktop\Tools\Server, exe 
mm I 产 marm BT 1 T i 1 Lm 1 La fi 117 131 3 


6. 115 ”进程 2056 退出 , 同 路 径 进程 2840 启动 
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Process Hame 了 ID Dperatiwor Fath Result 
Serer, exe 2840 醒 ReadueryValue HFEIM"\SOFTEARE"Mi srosoft Windows HI‘CuarrentVersionmhi,.., SUCCESS 
一 Server. exe 2840 RaglLloseFey HETM‘SOFTIHARE‘Microsoft Windows HI‘CurrentVersionmWi... SUCCESS 
Seryver. exe 2640 HeryHamelnformationFile C:\Users\JToun\DNesktop\Tool sderver., exe SUCCESS 
i Server. exe 2640 汪 iCreateFile C: Users\Jurn\hppData\Local Temp SetupDll. D11 HAME NOT FOUNID 
| Server. exe 2640 国 KeeLloseKey HELCU SUCCESS 
Server. exe 2840 旺 Re EEramYy al ue HECUNControl Panel\Desktop'iLarneuageC onfi guration HO MORE ENTRIFS 
i nd i be 本 书 中 下 Fl 中 可 本 和约 对 1 宇 [ ee able ele 


图 6.116 进程 2840 创建 SetupDll. DLL 文件 到 用 户 临 时 目录 


Server. exe 2840 国 .CloseFile C:\WindowsSwrstemde rundll3?, ex SUCCESS 
Sorver. axe 2840 国 CreateFilse C:\WindowsSwstemde rundll32, exe SUCCESS 
B'Server. exe B40 加 CreateFileNappine C:\WindowsSystem32 rundl32. exe FILE LOCREDN WIIH . . 
Server. exe 2640 国 .CreateFileNappine C:\WindowsSyrstemde\rundll32. exe SUCCESS 
Server. exe zB40 时 、 QuervilamelnformationFile C:\WindowsSrstemde rundll3?, exe SUCCESS 
i er wer. al Process Create -indowsisystemde rundll32. exe SUCLESS 


rundll3?. exe 1384 Process Start SUCCLESS 
| rundl132. axe 1384 Thread Create SUCCESS 
Server. exe 2840 苹 ReedueryValue HETLMN\SOFTHARE\Policies\Microsoft Windows\safer\codei,., HAME NOT FOUND 
Server. exe £840 本 ReadueryValue HETM"SOFTHAREN\Policies\Microsoft Windows\safer\codei. .. SUCCESS 


图 6.117 进程 2840 局 动 rundll32. exe 进程 PID1384 


rundll je. exe lJ304 BLreatetileMappine LUsersi umpplata Local lemp Setupllll. U1L 
rurndl132. exe 1364 加 QuerystandardInformationFile C:\Vsers\Jun\AppData\Local\Temp SetupDll. D1l 
rundll32. exe 1384 轧 ,cr eateFilellappine CUsers\Jun\hppData\Local ‘Temp ‘SetupDl]. Dl 


Srundll32. ex 1384 i.Load Image 


rundll32. exe 1384 国 ReedueryVYalue HETLNM\SOFTHARE Ni crosoft\Windows‘CurrentVersion\sideB... 
避 rundl132. exe 1384 梧 RegrloseEey HEINM\SOFTWARE\MNicrosoft\Windows‘CourrentVYersion\SideB... 
rundll32. exe 1384 加 Cr eateF1ile C:\VUsers\Jun\AppData\Local\Temp"Setuplll. D1l. 123. Man... 


图 6.118 进程 1384 加 载 SetupDll. Dll 文件 


rundl]l32. exe 1384 国 . queryBasicInformationFile Ci\Users\JuAppData\Local\TempSetupDll. Dl SUCCESS 
rundll32. axe 1364 国 .QueryEalnformationFile Ci:\VUsers\ TunhpolatalLocal TempSetuplll. 011 SUCCESS 
: 祷 昌 “iCreateFile C:\Windowss"System32 netsveop. Ql SUCLCESS 
rundll32. exe 1364 加 .CloseFile C:\WindowsSystemd2 natsveop. Ql SUCCESS 
rndll3?. exe 1384 na C:\Windows\System32 netsveop. Ql SUCCESS 
rundl32, exe 1384 Qaeryhtitributelnformationyo,,, C:\Windows"Srstemde netsrop. Ll SUCCESS 
rundll32. exe 1384 时 QueryBasi elntormationFile C:\Windows Systemd2 netsveop. Ql SUCCESS 
rundll32. exe 1364 国 .QueryAttributeInformationyo. .. C:\Users\Jun\ihppData\Local\Temp'SetupDll. D1 SUCCESS 
rndll32. exe 1364 加 SetEndDfFileInformationFile C:\Windows\Systemd2 netsveop. Ql SUCCESS 
| rundll32, exe 1384 本 FeadueryValue HETLMN\SOFTWARE\FoliciesNicrosoft\Windors"System "Copy, .. NAME NOT FOWUND 
rundll32, exe 1384 本 ReadueryValue HEIM\SOFTWARE‘\Policies" Microsoft\Windowns"System "Copw. .. NAME NOT FOUNLD 
rundll32. exe 1384 柄 ReeCloseley HETM"\SOFTWARE‘Poli cies“Microsoftindows "Syst em SUCCESS 
| rundll32. exe 1384 RheadFile Ci:\Users\Ju hpplata\Local‘\TempSetuplll. D011 SUCCESS 
rundll32, exe 1384 加 WriteFile C:\Windows\System32\netsveop. Ql SUCCESS 


图 6. 119 进程 1384 创建 netsvcop. dll 文件 到 系统 目录 


| | rumlll32, exe 1364 二 ReadueryValue HEIM\SOFTWARE ‘Mi cr osoft "SOMClient\Windows"CEIFEnable HAME MOT FOUND 
| | rundll32, axe 1384 本 ReaClosekey HEIM\SOFTWARE Micr osoft SQNMCLi ent Windows SUCCESS 
randll32. exe 1384 苦 ReahueryKey HEIN SUCCESS 


i rundll3e, ex 1384 "Re Ereateley HEINM"\STSTEN\CurrentControlSet\Services\S venanelest\F arameters REPFARSE 


| | randll32, exe 1384 ReelLreateley HEIM\System\CurrentControlSet Services\S yenamelTest\F arameters SUCCESS 
| rundll32. axe 1384 - HEIMN\System CurrentControlSet\servi eshananelest Parameters\Servicelll SUCCESS 
| rundll32. exe 1384 Reatloseley HIM System\CurrentControlSeth\servwices\S venamel est\F ar ameters SUCCESS 
rundll32. exe 1384 芋 ResduerykKey HEIN SUCCESS 
rundll3?. exe 1384 枚 ReeQueryValue HETM"\SOFTWARE ‘Mi er osoft Windows HTCurrentVersiomn\Svehost netewes BUFFER DOVERFLOW 
rndl32. exe 1364 本 EeeQueryValue HEIM\SOFTWARE Mi crosoft Windows HT‘CurrentVersion\Svehostnetswves BUFFER OYERFLOW 
| rundll32. exe 1384 本 RezdueryValue HEIM\SOFTWARE Mi crosoft Windows HI'CurrentVersiorn\Svehost nets wres SUCCESS 
此 F Un] 1334 二 RegSetValue HEINM\SOFIWARE ‘Microsoft\Windows HI\CurrentVersion\Svehost netswes SUCCESS 


6.120 进程 1384 创建 SvcnameTest 服务 启动 项 
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lo BB NeeadUeryY aLde MMM ST LIRR MY CF OSOLTINLI NWS ML VUYY ENNTYEFSL ONOST LNT SOS 
1384 醇 RegSetyalue HETN"\SOFTHARE Microsoft\Windows NI\CurrentVersionmSvehostnetsves 
1384 畏 'RegaueryKey HETH 

1364 醒 ReadueryYalue HITN\System\CurrentControlSet ‘Control ‘SQNServiceList\SsANServiceList 
1384 坪 : eCloselKey HITN\System\CurrentControlSet\Control \‘SQMSerwiceList 


面 hos t, 
: svehost. 
"svyehost. 
| svchost， 


"| swehost. 
svehost. 
"swehost. 
"swehost. 
"| svehost. 
| svehost. 


更 swehost. 


站 六 电 
闪光 意 
七 其 蛋 
介 拢 明 
芭 其 昌 
昌 基 上 电 
总 共生 


Server, exe 
属 以， 总 琵 总 


PBB Process Start 


2466 了 鲁 Thread Create 


2468 出 Load Image C:\Windows\System32\svehost. exe 
2463 下 Load Image C:\Windows\System32\ntdl. Ql 
2468 可 CreateFf1ile C:\Windows\Prefetch\SYCHOST, EXE-DCBA01FA. pf 


6. 121 Svchost. exe 进程 PID2468 运行 


465 BE Meatlueryley HELM\System Lure entlL ontrolset ser wv ces 

2468 本 ReadueryEey HEINM\System\CurrentControlSet\services\Svenanelest 

2468 国 ReaCloseKey HETNM\System CurrentControlSet\services 

2468 的 HETNM"\Systam CurrentControlSet\servicesSvenamnel est 

2468 Reafuerylalue HITMM\System\CurrentControlSet\servicesiSvenamelTesti\Farameters\ServiceD]ll 

2468 本 ReaflueryYalue HITM\System\CurrentControlSet\servicesiSvenameTestiFarameters\ServiceMlaniiest 
2468 七 ReggaueryYalus HIINM\System CurrentControlSet\servicesSvenamel est\Parameters"Servicelain 


2640 区 QueryiameInform, .. C:\Windows\System32\kernel32. dl 
2840 区 QueryHameInform, .. C:\Windows\System32\user32, 有 1 


i svehost. 


冯 此 晶 


属 er var. ete 


a MP Me OF BL 


4BS tueryOpen C:\WindowsSystemd2 netsveop. Ql 
2840 Quervianmelnform. .. C:\Windows\System32‘ntdl1. D1 


图 6.122 确认 进程 2468 为 新 创建 的 svenametest 服务 


He Ee Fd Fd ee ee he od ee ed be hd he 


EC 
| 号 让 f 太 让 让 ， 记 区 所 


| Server. exe 


国 | 写 记 六 可 让 六 ， 扎 汪 记 
四 | eyeTr ,ee 


车 |] svehost. exe 
车] svehost, exe 
| svehost, exe 


本 

让 亿 友 丰 全 ， 记 中 所 

本 

， 记 开间 
应 尖 所 
画 svchost. 
应 尖 所 
所 开间 
， 放 开间 
a evehost 
[a ， 尼 区 昌 
[可 se 
画 svchost. 
svchost. 
更 ' svchost. 


丰台 司 


谍 基 本 


[| 
避 基 本 
局 下 只 
[= 二 吧 


图 6. 124 


T9= 
89b 
536 


攻 呈 让 曰 


?B40 SR Process 了 ExIt 


2640 蕊 .CloseFile C:\Windows\System32 

2840 栈 ReelLloseKey HELN\System\CurrentControlSet\Control \Nls\Sortine\Versions 

2840 七 RegrloseKey HEIN 

2640 七 RegrloseKey HIIN\SystemCurrentControlSet\Control ‘SESSION MANAGER 

2640 七 RegrloseKey HECUNSoftware\Microsoft\Windows HT‘CurrentVersion 

2840 七 RegrloseKey HELN‘\SOFTHARE\Microsoft\Windows HI‘CurrentVersion\AppCompatFlaes 

2840 七 RegrloseKey HETLNM‘\SOFTWARE‘\Microsoft\Windows HI‘CurrentVersion\Imaee File Execution Opt 


2d66 轩 、SetEndDfFileInf... C:\Windows\System32\netsveop. dl 
2466 二 CreateFilellappine C:\Windows\System32\netsveop. dll 
2468 鸭 CreateFilellappine C: Windows\System32\netsveop. dl 
2468 国 BueryStandardIn. .. C:\Windows\System32\netsveop. Ql 
2468 国 .CreateFileNlappine C:\Windows\System32\netsveop. Ql 
2468 全 Load Image C:\Windows\System32 netsveop. Ql 
2466 国 CloseFile C:\Windows"Systeaem3e netsveop. Ql 
2468 了 匡 Load Image C:\Windows\Systaem32\oleaut32. Ql 


2466 羡 Load Image C:\Windows\System32shell32. D1 
2466 羡 Load Image C:\Windows\System32"shlwapi. Ql 
24B8 国 、Query0p eT C:\Windows\System32 wsock32. D1 
24B8 于 createF ile C:\Windows\System32\wsock32. Ql1 


图 6.123 进程 2840 退出 ,进程 2468 加 载 netsvcop. dll 


TICPYE [0:0:0:0:0:0:0:0] 49153 [0:0:0:0:0:0:0:0] 0 LISTENING 
ICPYE [0:0:0:0:0:0:0:0] 49154 [0:0:0:0:0:0:0:0] 0 LISTENIMN 
UDPYE [0:0:0:0:0:0:0:0] 5355 素 素 
1LP lde. TB. 136.135 139 U0.0.0U.U U LISTENING 
TCP 0.0.0.0 445 0.0.0.0 0 LISTENING 
UDP 192. 188. 138.135 137 率 下 
UDPF 192. 166. 136.135 138 率 率 


TCPView 查看 2468 进程 TCP 连接 192. 168. 136. 1 的 2015 端口 


过 监控 到 的 信息 ,我们 知道 了 木马 安 冯 的 过 程 和 安放 后 连接 的 IP 地 址 。 
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创建 


运行 rund1132.exe 加 载 SetupD11.DLL 


创建 netsvcop.dll 到 系统 目 孙 


创建 svcnametest 服 务 启动 项 
川 基 netsveop.dll 


TCP 连 接 192.168.136.1 : 2015 


6.125 Server, exe 木马 安装 运行 流程 图 


0 10., 4 小 、 ”器 


针对 恶意 代码 软件 调查 ,大 部 分 软件 者 经 过 加 元 加 密 处 理 , 给 静态 分 析 增 加 了 难度 。 但 
是 第 加 密 过 的 代码 信息 由 于 不 可 鼻 改 性 ,往往 具备 很 蜗 的 证 据 效 力 。 通 过 动态 加 载 分 析 , 可 
以 获取 诸多 不 为 人 注意 的 重要 信息 ,能够 为 网 络 和 案件 的 侦查 提供 重要 和 带 助 。 


6.11 多 和 辑 数据 恢复 


多 指数 据 恢 复 是 电子 数据 取证 中 使 用 频率 最 局 的 技术 之 一 ,也 是 电子 数据 到 证 工作 中 
的 一 项 基础 拉 术 ,是 后 期 数据 分 析 的 基础 。 本 市 的 教学 目的 是 通过 详细 阐述 电子 数据 取证 
工作 中 最 第 遇 到 的 系统 级 数据 恢复 方法 文件 级 数据 恢复 方法 和 便 盘 录像 机 数据 恢复 方法 ， 
以 达到 深入 学 习 逻 辑 数 据 恢 复方 法 . 笔 握 第 用 逻辑 数据 恢复 技术 的 目的 。 


6.11.1 系统 级 数据 恢复 


系统 级 数据 恢复 主要 是 对 基于 文件 系统 的 数据 恢复 ,主要 包括 分 区 恢复 和 RAID 恢复 
两 个 方面 。 一 个 物理 人 硬盘 通过 分 区 表 ( 只 有 一 个 分 区 时 可 以 没有 分 区 表 ) 划 分 成 右 干 逻辑 分 
区 (也 称 卷 或 逻辑 盘 ) ,在 分 区 的 基础 上 建立 目录 ,通过 目录 进行 文件 管理 ,分 区 表 损 坏 就 不 
能 定位 逻辑 盘 ,但 是 每 个 分 区 的 开头 有 其 特征 ,根据 这 些 特 征 可 以 定位 分 区 ,进而 恢复 分 区 
表 , 即 使 是 重新 分 区 后 ,也 能 根据 分 区 起 始 特征 找到 先前 的 分 区 。 在 本 节 的 分 区 恢复 部 分 主 
要 介绍 Windows 平台 下 FAT 和 NTFS 文件 系统 的 恢复 ,FAT 文件 系统 通过 FAT 表 、 根 目 
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录 、 数 据 禾 等 管理 存储 空间 ,NTFS 文件 系统 则 通过 复 、MFT 等 管理 存储 空间 ,通过 分 析 文 
件 系统 的 数据 结构 特征 可 以 进一步 提高 数据 恢复 技术 。 

1. 分 区 恢复 

在 本 书 第 2 章 中 介绍 了 MBR DBR FAT 等 分 区 相关 信息 的 恢复 原理 ,这 里 就 不 再 重 
复 。 本 部 分 主要 介绍 在 电子 数据 取证 中 ,如 何 利 用 工具 软件 计算 、 快 速 找 到 并 恢复 出 被 删 
除 .故意 损坏 或 刻意 隐藏 的 逻辑 分 区 。 在 对 取证 目标 进行 分 区 恢复 之 前 ,首先 要 做 的 依然 是 
保护 好 现场 ,标记 好 人 硬盘 连接 在 主板 的 几 号 人 硬盘 接口 上 .硬盘 上 的 跳 线 状态 等 信息 ,然后 在 
便 盘 只 读 设 备 保护 下 ,制作 便 盘 的 位 对 位 镜像 文件 ,之 后 的 分 区 恢复 将 在 镜像 文件 上 进行 。 
下 面 以 常见 的 MBR 结构 下 的 分 区 恢复 为 例 , 讲 解 分 区 表 、DBR 等 恢复 的 方法 和 步骤 。 

(1) 重建 分 区 表 

如 果 分 区 表 受 到 破坏 而 丢失 分 区 信息 ,可 以 通过 查找 分 区 并 将 其 写 入 分 区 表 区 域 来 恢 
复 分 区 。 不 同 分 区 格式 具有 不 同 的 特征 ,比如 FAT32 分 区 起 始 特征 为 EB58904D, 在 相对 
偏 移 1CH 一 IFH 字段 标识 该 分 区 的 LBA 地 址 ,在 相对 但 移 20H 一 23H 字段 标识 该 分 区 的 
总 证 区 数 , 分 区 首 扇 区 以 “55AA? 结 尾 ,NTFS 分 区 起 始 特征 为 EB52904E, 在 相对 偏 移 1CH 一 
1FH 字段 标识 该 分 区 的 LBA 地 址 ,在 相对 偶 移 26H 一 2FH 宇 段 标识 该 分 区 的 总 局 区 数 , 分 
区 站 珊 区 以 “55AA” 结 尾 。 如 图 6. 126 所 示 是 一 块 便 盘 NTFS 分 区 讶 出 区 数据 ,该 分 区 
LBA 地 址 为 3F 00 00 00 ,总 扇 区 数 为 EA 06 C8 06 再 加 1, 即 为 EB 06 C8 06, 该 NTFS 分 区 
在 MBR 中 的 分 区 表 数 据 如 图 6. 127 所 示 , 其 中 01BEH ~~01CDH 为 该 NITFS 分 区 在 分 区 
表 内 的 数据 信息 。 


D000007E10 00 00 00 00 00 Fo 00 D0 3F 00 FF 00 3F 00 00 00 | .....8..7?7.W.?... 
O000007E20 00 00 00 00 80 00 80 00 EA 06 C8 06 00 00 00 00 so,.... 
0000007E30 00 00 bc DO 00 00 O00 00 6E 80 sc O00 O00 DUO 00 O00 .s,s nll,.,..,.. 
DOO00007E40 Fé O00 Do O00 01 bb DO OU BE 34 48 2C B22 48 ee 50 | 0...... .NIH,*H,.P 
0000007E50 | 00 00 00 00 FA 33 CO BE DO BC 00 7?C FB BS C0 07 | ....i3AlDYE. |d,A. 
0000007EE0 8E DB EB 16 00 BS 00 0D 8E C0 33 DB C6 06 OE 00 | I@8..,..1A30E... 
D0000007E70 | 10 E8 53 00 68 00 OD 68 6a 02 CB BA 16 24 00 B4 | .aS.h..hj.El.S.° 


| 0000007F60| 08 CD 13 73 05 B9 FF FF BA Fl1 66 OF BE CE 40 66 .s.rliF .MFGF 
0000007ES0 OF Bé D1 80 E2 3F F7 E2 B86 CD CO ED O06 41 66 OF | .Mila?+alITAi .AF. 
0000007EAD0 | B7 C9 66 F7 El 66 A3 20 O00 C3 B4 41 BE AR 55 BA | :Ef-aft A’Asal 
D000007EB0 | 16 24 00 CD 13 72 OF 81 FB 55 AA 75 09 F6 Cl 01 | .5$.ir,1aUau.oa， 
D000007ECO 74 04 FE 06 14 00 C3 66 60 1E 06 66 Al 10 00 66  t.b...Af’..fi..f 
D000007EDD 03 06 1¢ Do 66 3B O06 20 DO OF 82 3A DO 1lE 66 BBA | .fis .1:..£] 
D000007EED O00 66 50 O06 53 66 68 10 00 01 00 80 3E 14 00 00 | .fFP.Sfh....1>... 
DODooD7EFDI OF 85 oOC O00 ES8 B3 FF 80 3E 14 00 00 OF 84 61 O00 | .ll..e3YI>....la. 
O00O0007F00 B4 42 8A 16 24 00 16 IF 8B F4 CD 13 66 S58 5B 07 | ‘BI.S...181.fFx[. 
O0000007F10 | 66 58 66 5S8 IF EB 2D 66 33 D2 66 OF B7 OF 18 O00 | fXfX .8-f30f..... 
O000007F20 | 66 F7 Fl FE C2 BA CA 66 BB DO 66 Cl EA 10 F?7 36 | f+-HbAIEFIDEAS.-E 
0000007F30 1A 00 86 D6 BA 16 24 00 BA E8 CO E4 06 OA CC B8 | .101.$.18As..1, 
0000007F40 01 02 CD 13 OF 82 19 00 BC C0 05 20 00 8E C0 66 | .Ii,.l..IA,. .AF 
DO00007FSO FF Oo 10 O00 FF OE OE O00 UF B85 6F FF DA 1lF 66 B61 YY ov. .ta 
0000007F60 C3 A0 F8 O01 E8 09 00 AO FB O01 E8 03 O00 FB EB FE A g.8.. di.e..teb 
0000007F70|B4 01 8B FO ac 3c 00 74 09 B4 OE BB 07 00 CD 10| “18-2¢.t.'.»..1. 
O000007F80 EB F2 C3 OD OA 41 20 64 69 73 6B 20 72 65 61 64 | BbR. .A disk read 
DO00007E30 20 65 72 ?v2 bE 72 20 6F 63 663 ?5 72 72 po bd 00| error occurred. 
D000O007EFAD0 OD O&A JE 54 4C 44 S52 20 69 73 20 ED 69 73 73 6B9 | . .NILDR is missi 
UUUUUU EDBUI BE Br UV UD OA 4E 54 4 44 S52 a0 BY ra 2U B63 BE | ng, ,NILDKR 18 co 
O000007EFCO BD YO Ve E35 "gg 73 bo 64 UO 0D OA 50 7c 6o 73 73 | mpressed,. .Prass 
O000007FDO 20 43 v4 7Y2 pe 2B 41 EC 74 2B 44 65 BC 20 AA BF | Ctrl+aAlt+Del to 
UOUUUUYEEU 2U ve b5 v3 YA4 bl Ye "4 UD UA OO UU OU UU U0 OV | restart,,....... 
0000007FFO | 00 00 00 00 00 00 00 00 83 a0 B3 C9 00 00 55 AA| ........ | 3 ,US | 


图 6.126 NTFS 分 区 首 户 区 数据 
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0000000180 | 00 00 00 00 00 ace 44 63 2A C3 D2 28 00 00 80 01 | ....., DexAO+..1. 
00000001C0 | 01 00 07 FE FF FF 3F 00 00 00 EB 06 C8 06 00 00| .. .bYY?..,.8.E,., 
00000001DO | C1 FF OF FE FF FF 2A 07 Ca 06 56 06 70 33 00 00 | Ay .bY .E.V.p3.,. 
00000001E0| 00 bo 00 00 00 00 00 00 oo 00 00 oo 00 00 00 00  .,.............. 
00000001F0|00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA | .so。 Ua 


图 6.127 MBR 分 区 表 数 据 


(2) DBR 修复 

下 面 就 以 常见 的 FAT32、NTFS 分 区 为 例 讲 述 DBR 恢复 的 方法 。 

FAT32 分 区 DBR 修复 

FAT32 格式 分 区 的 DBR 虽然 比 FAT16 的 DBR 中 的 BPB 参数 复杂 一 些 , 但 是 基本 恢 
复 思 路 与 FAT16 格式 分 区 的 DBR 恢复 思路 相似 。 某 FAT32 分 区 的 BPB 参数 如 图 6. 128 
所 示 ,BPB 参数 说 明 如 表 6. 57 所 示 。 


Offset 0 1 2 3 4 5 6 7 8 3 A BCD E FRAIGINS 
00000000 EB 56 30 4D 53 44 4F 533 35 2E 30 00 02 08 20 00 axIMSDOS3.0... . 


00000010 02 00 00 00 00 F8 00 00 01 00 01 00 00 00 00 00 ..... ERE 
00000020 00 FE 1F O00 FC Dr 00 00 00 00 00 00 O02 00 00 00 .bhb..i........... 
00000030 01 00 06 00 00 00 00 00 00 00 O00 00 00 00 00 00 .soon 


00000040 80 00 23 Fl 43 3> 3C 4E 4F a0 4EF 41 4D 45 20 20 1.)ilS<NO NAME 
00000050 |20 20 46 dl sd so 3 2 0 20 33 Cc9 8E D1 BC F4 FAT32 3E NS 


6.128 FAT32 分 区 BPB 参数 


表 6.57 FAT32 分 区 BPB 参数 说 了 明 


0BH 每 扇 区 字 节 数 : 512; 记录 扇 区 大 小 ; Windows 系统 下 都 是 512 不 用 修改 

0DH 每 簇 扁 区 数 : 如 8; 记录 着 能 大 小 , 即 由 多 少 个 扇 区 组 成 一 个 能 需要 计算 

0EH 保留 扁 区 数 : 如 32; FAT32 中 基本 上 都 是 32 需要 计算 

10H FAT 数 : 2; FAT 表 的 个 数 ,一 般 为 2 不 用 修改 

11H 引导 记录 : 0; 早期 的 根 目录 最 大 所 能 容纳 的 目录 项 目 数 , 未 使 用 , 填 人 0 | 不 用 修改 
or 32MB): 0; FAT32 下 已 经 没有 这 人 么 小 的 分 区 了 ,这 一 项 不 | 未 用 修改 

15H 介质 描述 符 (十 六 进 制 ): F8( 硬 盘 ) .其 他 的 均 为 不 同类 型 的 软盘 不 用 修改 

16H| 2 | 每 FAT 扇 区 数 : 0; FAT32 不 使 用 , 填 人 0 不 用 修改 

18H 每 磁道 户 区 数 ， 63; 逻辑 参数 一 般 不 用 修改 
1AH| 2 | 磁头 数 : 255; 逻辑 参数 一 般 不 用 修改 
1CH 隐 含 扇 区 : 指 从 0 至 DBR 扇 区 数 参考 分 区 表 确 定 
20H 扇 区 数 (超过 32MB) : 该 分 区 的 扇 区 总 数 参考 分 区 表 确 定 
24H 每 FAT 扇 区 数 ; FAT32 下 每 FAT 表 占 用 的 扇 区 数 需要 计算 


28H| 2 | 标记 0 | 不 用 修改 
2AH| 2 | 版 本 0 | 下 用 个 改 
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续 表 
偏 移 备注 
ee 引导 目录 第 一 簇 ; 根 目 录 在 DATA 区 的 起 始 簇 的 位 置 ,是 所 有 文件 和 目 需要 计算 

录 的 人 口 
30H FS 信息 扇 区 : 1,DBR 占用 的 扇 区 数 不 用 修改 
ls 备份 引导 刷 区 : 6,FAT32 保留 了 系统 隐 含 展区 ,并 对 DBR 做 了 备份 ,该 不 用 修改 
z 备份 保存 在 逻辑 第 6 个 扇 区 ,DBR 损坏 时 可 以 用 它 来 进行 恢复 
34H 不 用 修改 
40H BIOS 设备 (十 六 进 制 ,HD 一 8x) : 80 不 用 修改 
41H (未 使 用 ): 0 不 用 修改 
42H 扩展 引导 标记 (29H): 29H 不 用 修改 
不 用 修改 或 随意 


43H 卷 序 列 号 (十 六 进 制 ): 随机 序号 填写 


47H 卷 标 : FAT 32; 每 个 逻辑 驱动 器 都 有 一 个 卷 标 ,由 用 户 指定 ,只 是 一 个 标识 | 不 用 修改 
52H| 8 | 文件 系统 : FAT32; 明码 形式 的 文件 系统 格式 不 用 修改 


从 BPB 参数 来 看 ,FAT32 分 区 的 BPB 很 大 一 部 分 都 是 固定 值 , 只 有 每 簇 鹿 区 数 、 保 留 
有 区 数 、 每 FAT 表 忆 区 数 、 引 叶 日 录 第 一 族 等 少量 参数 需要 按 实 际 情况 进行 计算 。 需 要 修 
改 的 参数 主要 有 以 下 4 个 方面 。 
。 0DH: 每 篮 局 区 数 。 每 复 朵 区 数 不 仅 决定 看 FDT 中 文件 目录 的 首 复 号 的 族 大 小 ， 
而 且 FAT 表 中 的 簇 链 记录 的 簇 必 须 与 DBR 指定 的 簇 大 小 相配 合 , 才 能 最 终 确 定 文 
件 目 录 本 身 在 数据 区 域 中 占用 的 硼 区 , 即 数据 实际 存储 的 位 置 。 该 值 是 一 个 重要 日 
变化 的 参数 ,必须 根据 实际 情况 进行 计算 ,该 伸 的 正确 与 否 ,将 百 接 影 啊 数据 恢复 的 
成 败 。 假 设 复 大 小 为 X 个 朵 区 ,FAT 表 大 小 为 FATI 个 朵 区 ,数据 区 大 小 为 DATA 
个 悄 区 ,可 以 通过 下 面 这 个 公式 计算 得 到 每 徐 悄 区 数 : 
DATA 
FATX 512_， 
2 
对 义 向 2 的 指数 值 就 近 取 整 , 就 得 到 了 BPB 表 中 的 每 复 扇 区 数 。FAT32 可 能 的 得 大 
小 非常 有 限 ,都 是 2 的 指数 值 ,如 1,2,4,8,16,32 和 64, 也 可 以 直接 将 数值 逐个 写 人 测试 。 
。 0OEH~OFH: DOS 保留 扇 区 数 。 该 值 是 DBR 至 FATI1 的 扇 区 数 , 按 实际 值 填 人 ,一 
般 为 32 或 者 其 他 值 。 
。 24H~27H: 每 FAT 占用 的 忆 区 数 。 由 FATIl 至 FAT2 的 实际 书 区 数 即 可 得 到 
FAT 表 长 度 , 按 实际 计算 值 填 和 人 。 根 据 FAT 表 起 始 扇 区 的 前 8 个 字 节 特征 “F8 FF 
FF OF FF FF FF FF”, 找 到 FAT1 和 FAT2 的 起 始 悄 区。 
。 2CH~2FH: 引 叶 目录 第 一 簇 的 位 置 , 即 根 目录 上 自 族 。 根 目录 前 筷 的 计算 既 可 以 通 
过 根 目 录 的 特定 特征 ,如 使 用 回收 站 目录 “RECYCLED” 来 进行 查找 ,也 可 以 使 用 偏 
移 量 0BH 的 卷 标 属 性 值 来 进行 查找 ,因为 卷 标 占用 了 根 目 录 下 的 第 一 个 文件 目录 
项 ,通过 它 可 以 很 快 找到 根 日 录 首 簇 的 位 置 。 
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FAT32 分 区 DBR 的 恢复 一 般 比 FAT16 分 区 DBR 恢复 要 容易 一 些 , 因 为 FAT32 分 区 
的 保留 月 区 一 般 为 32 ,并 且 在 第 6 局 区 有 一 个 DBR 备份 ,如 果 备 份 没 有 遭 到 破坏 ,只 需 将 
DBR 备份 复制 到 DBR 鹿 区 即 可 。 

@ NTFS 分 区 DBR 修复 

NTFS 分 区 不 是 通过 FAT 和 FDT 来 管理 分 区 , 而 是 通过 元 文件 来 管理 分 区 ,NTFS 分 
区 的 DBR 参数 与 FAT16 和 FAT32 分 区 的 DBR 参数 不 同 。 通 常情 况 下 ,在 NTFS 分 区 中 
间或 者 结尾 部 分 有 DBR 的 备份 ,只 需 将 其 复制 到 DBR 刷 区 即 可 。 如 果 没 有 DBR 的 备份 ， 
也 同样 可 以 通过 复制 正常 NTFS 分 区 的 DBR ,并 对 其 参数 进行 了 修改 的 方法 来 修复 NTFS 
分 区 的 DBR。 首 先 介绍 一 下 NTFS 分 区 BPB 参数 , 革 NTFS 分 区 的 DBR 的 参数 部 分 如 
图 6. 129 所 示 ,BPB 参数 说 明 如 表 6. 58 所 示 。 


Offset 0 1 2 3 4 5 6 7 8 9 A BC Dp EE F /| :ee 
00000000 EB 52 90 4E 54 46 53 20 20 20 20 00 02 04 00 00 eRINIFS  ..... 
00000010 00 00 00 00 00 FEB 00 O00 01 O00 01 00 00 00 00 00 ..... ee 
00000020 00 00 00 00 80 00 80 00 FF FD 3F 00 00 00 00 00 -一 一 一 ee 
00000030 22 5355 05 00 00 00 00 00 BE FF O07 00 O00 00 00 00 #U......eYy...... 
00000040 Fé 00 00 00 02 00 00 O00 %9 7B F7 80 Al E7 80 20 6....... el 1 i = 
00000050 | 下 加 四 中 加 加 ED FA 33 C0 oh DO EC O00 AZ FB BBCUO UD7 oi 3ALDY. |a, 和 


图 6.129 NTFS 分 区 BPB 参数 


表 6.58 表 NTFS 分 区 BPB 参数 说 阴 


0BH 每 恒 区 字 节 数 : 512; 记录 肩 区 大 小 ; Windows 系统 下 都 是 512 | 本 
oDH 每 能 扇 区 数 : 如 8; 记录 着 能 大 小 , 即 由 多 少 个 肩 区 组 成 一 个 能 需要 计算 
0EH| 2 | 保留 扇 区 数 : 总 是 0 下 用 修 
10H 不 用 修改 
13H 不 用 修改 
15H 介质 描述 符 ( 十 六 进 制 ): F8( 硬 盘 ) ,其 他 的 均 为 不 同类 型 的 软盘 用 

16H 不 用 修改 
18H 每 磁道 肩 区 数 , 63; 逻辑 参数 下 用 修 才 
1AH| 2 | 磁头 数 : 255; 逻辑 参数 
1CH 隐 含 扇 区 : 指 从 MBR 至 DBR 扇 区 数 参考 分 区 表 确定 
za 天 用 修改 


28H| 8 | 肩 区 总 数 , 分 区 大 小 参考 分 区 表 确 定 


30H| 8 | $ MFT 的 开始 逻辑 能 号 需要 计算 
38H| 8 | $MFTMirr 的 开始 逻辑 能 号 需要 计算 
40H 每 个 MFT 记录 的 簇 数 ; 如 果 是 负数 ,就 表示 2 个 扇 区 需要 计算 
44H 每 个 索引 的 能 数 ; 如 果 是 负数 ,就 表示 2 个 扇 区 需要 计算 
48H | 8 | 卷 标 和 分 区 逻辑 序列 号 不 用 修改 


50H| 4 | 检验 和 ,为 0 不 用 修改 
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下 面 从 4 个 方面 阐述 NTFS 分 区 DBR 参数 计算 方法 : 

0DH: 每 复 扇 区 数 。 通 常 参照 微软 默认 设置 即 可 。 微 软 系统 在 格式 化 NTFS 分 区 时 对 
每 簇 遍 区 数 的 默认 设置 如 表 6. 59 所 示 。 如 图 6.129 所 示 ,NTES 分 区 DBR 中 ,分 区 容量 为 
2048MB ,0DH 参数 值 为 4。 


表 6.59 表 NTFS 分 区 默认 簇 大 小 


分 区 大 小 每 艇 局 区 数 默认 簇 大 小 


72MB 或 下 5 可 


2019MB WE | kD 


30H 一 37H: $ MFT 的 开始 逻辑 矢 号 。 通 过 查找 $MFT 的 特征 字 节 来 定位 该 文件 位 
置 ,其 起 始 4 个 字 节 为 “46 49 4C 45”, 如 图 6. 130 所 示 。 


Of tset 0 1 2 3 4 5 6 7 8 9 A BC DD E FI | 杞 a | 


2AAI95000 | 46 49 4c 45 30 00 03 00 FD OE 40 00 00 00 00 00 BILED.. .YY.@..... 
AA9o010 |01 O00 01 O00 38 00 01 00 938 UL 00 00 O00 04 00 00 ....8...1....... 
2AA95020 |00 bo 00 00 00 00 00 00 06 00 00 00 OMmMOMmem | ..。 ，，，， 。，。 .周二 二 
2AAI95030 |02 00 00 00 00 00 00 00 10 00 00 00 60 00 00 00 | ............ nee 
2AAM95040 |00 00 18 00 00 00 00 bb 48 00 00 00 18 00 00 00 ........ He 


2AA95050 FEFB Cp 19 F7 F8 IC pO 01 FS8 CD 19 F7 FB lc DO O01 ei.-a.D.sl .+a.D. 
2AA95060  FB CD 19 F7 F8 1C DO 01 F8 CD 19 F?7 Fe lc DO 01 el.,.+-g.D.el .+8.D. 


2AA95070 |068 ou 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 
2AR95080 |00 00 00 00 00 01 00 00 00 00 00 00 00 00 O00 O00 .oo 
2AA95090 |00 00 00 00 00 00 00 00 30 00 00 00 68 00 00 00 ........ [In 


图 6.130 ”$MFT 的 特征 字 节 


通过 特征 字 节 ”46 49 4C 45” 进 行 查找 ,在 分 区 中 能 够 找到 两 处 大 区 起 始 位 置 具 有 特征 
字 节 的 区 域 。 由 于 $MFTMirr 只 是 $ MFT 的 部 分 备份 (前 16 个 记录 ) 而 不 是 完全 备份 , 因 
此 $MFT 较 $MFTMirr 要 大 ,通过 比较 两 个 区 域 的 大 小 ,大 的 是 $MFT, 小 的 是 
$ MFTMirr。 一 般 $ MFT 在 $MFTMirr 之 前 ,但 也 有 可 能 在 $MFTMirr 之 后 。 图 6. 130 
所 示 $ MFT 开始 字 节 位 置 为 2AA95000H 扇 区 ,2AA95000H 除 以 200H 得 到 扇 区 位 置 为 
1554AA ,该 分 区 每 徐 肩 区 数 为 4,1554AA 除 以 4 得 到 逻辑 复 号 为 5552A, 在 DBR 中 低位 在 
前 ,高 位 在 后 ,因此 DBR 中 30H 一 37H 值 为 2A55050000000000, 如 图 6. 129 所 示 。 

40H 一 43H: 每 个 MFT 记录 的 复数 。 在 找到 $MEFT 后 , 相 邻 两 个 $MFT 的 特征 字符 
之 间 的 扇 区 数 按照 复 大 小 换算 成 复数 就 是 一 个 MFT 记录 所 占用 的 复数 。 这 个 参数 是 带 符 
号 数 , 当 每 个 MFT 记录 的 大 小 小 于 每 禾 朵 区 数 时 ,该 参数 就 要 用 字 节 数 来 计算 ,这 时 每 个 
MFT 记录 的 复数 的 计算 方法 为 :21 人 METE 录 的 攻 到 一 每 个 MFT 记录 的 字 节 数 。 图 6. 131 
所 示 $ MFT 特征 字 节 与 图 6.130 $ MFT 特征 字 节 相差 400H , 即 1024 字 节 ,为 2 个 扇 区 ， 
而 该 分 区 每 簇 肩 区 数 为 4, 经 过 计算 ,每 个 MFT 记录 的 复数 为 十 进 制 数值 “一 10”, 换 算 为 十 
六 进 制 为 "F6H”, 因 此 每 个 MFT 记录 的 簇 数 为 “F6000000”。 
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Offset 
“AAAo9540D0 
25a9541D0 
“日 420 
2 号 昌 543D 
AAdI44U 
2BB95450 
AAdI46U 
2AA95470 
ABdJ400 
<AA9549D0 


44H~47H: 


的 特征 字 节 “49 4E 44 58” 进 


“FB8 
00 00 
00 00 
00 00 


区 数 按照 艇 大 小 换算 成 艇 数 就 是 


计算 ,这 时 每 个 索引 的 复数 的 计算 方法 为 : 
字 节 如 图 6.132 所 示 。 


OF 


00 


$ MFT 特征 字 节 


9 A BC DD EF “| 外 ~ | 


D0 | EILEQO .EB 


0 | ro 
| 
D0 | BR 
| 避 ne 


01 ai.-a.P.al.-a.D. 


0 01 oil.-g.D .ol .-g.D. 


00 


每 个 条 引 的 艇 数 。 与 每 个 MFT 记录 的 禾 效 的 计算 方法 相似 , 稳 通 过 款 引 
并 行 查找 , 近 照 字符 串 或 者 十 六 进 制 查找 均 可 ,两 个 索引 之 间 的 刷 


-个 索引 所 占用 的 复数 。 这 个 参数 与 上 面 的 每 个 MFT 记 
录 的 底数 相似 也 是 市 符号 数 , 当 每 个 受 引 的 大 小 小 于 每 族 朵 区 数 时 ,该 参数 就 要 用 字 万 数 来 


?一 1X 每 个 索引 的 能 数 一 


每 个 受 引 的 字 世 数 。 索 引 特 征 


Oftet 
3FFE9BDD 
3FFE9811 
JFFE9822 
3FFE9833 
了 FFE9844 
3FFE98655 
3FFES866 
JFFE9977 
3FFE9888 
3FFE9899 


工具 使 用 


WinHex 是 . 


图 6.132 索引 的 特征 字 节 


使 用 WinHex(V17. 2) 。 


二 国 天 加 二 本 中 中 上 上 避 图 国 国 肌 轧 


01 | .加 IT .gD .al .= 向 .五 . 
ED gal-g.D,.1...... 
D031 


- 款 Windows 下 的 十 六 进 制 编辑 软件 ,功能 强大 ,有 着 完善 的 分 区 管理 功 


能 和 文件 管理 功能 ,能 日 动 分 析 分 区 链 和 文件 族 链 ,而 且 能 够 编辑 物理 硬盘 ` 逻辑 人 硬盘 或 内 


存 的 任 
如 图 6. 133 所 示 。 


软件 的 取证 版 本 称 为 X-Ways Forensic。WinHex V17.2 的 主 界面 
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inHer 

女 件 偿 ) 编辑 企 ) 搜索 EB) 位 置 企 ) 查看 i 工具 江 ) 专业 工具 代 ) 选项 人 0) 窗口 世 ) 帮助 出 ) 

口 态 加 受 时 族 | 器 星 和 撒 吕 加 | 的 总 流 党 搞 | 一 国生 中 | 国 是 伯 国 人 | 涂 48Q 国 |9 
文件 已) 编辑 0) 四 


世 打开 立 件 @E) 司 打开 磁盘 < 打开 内 存 隘 ' 打开 目录 
| | | | 


开 的 昌 } 案件 /方案 [C} 


最 近 打 


Yi 
Te 


了 Amy doc\d ,. “WProtectSDK320, dl 

E:\my doe\di,.. VHProtectSDRK32, dl 

E: my docy, ., “WErotectSDE3200, 1 

E:\my doe.,. dintiao seq3. 1200, axe 

Ei Mmw docy,., dantiad scq3, 120, exe 

E:\my doc\d ，. \dantiao_ scq3. 12, exe 

CUsers\hdmin. .. “新 建 妇 二 总 和 档 . txt 国 swme es , mr 

E: 教程. ,010-0D 调 试 使 用 小 结 . Doc he en 
国 Text file conversion Windows 一 ... 


图 6.133 WinHex V17. 2 主 界面 


在 分 析 和 修复 MBR 分 区 表 参 数 时 ,使 用 "分 区 表 ( 模 板 ) ”功能 , 即 可 以 查看 该 便 盘 
MBR 中 的 分 区 表 信 息 。 图 6. 134 为 物理 驱动 大 HD0 的 MBR 的 参数 信息 。 

分 区 表 的 参数 可 以 直接 在 这 里 进行 修改 ,参数 计算 方法 在 2. 10 市 中 已 经 介绍 ,这 里 就 
不 再 重复 。 

在 分 析 和 修复 DBR 参数 时 ,使 用 "引导 扇 区 (模板 )?” 功 能 , 即 可 以 查看 分 区 1 的 DBR 中 
BPB 参数 。 图 6. 135 为 分 区 1 的 DBR 中 BPB 参数 信息 。 

可 以 通过 直接 修改 BPB 参数 表 内 的 参数 值 进行 DBR 修复 ,BPB 参数 的 计算 方法 在 前 
面 已 经 介绍 过 了 ,这 里 就 不 青 重复 。 

利用 WinHex 辅助 修复 MBR、DBR 具有 事半功倍 的 效果 ,不 仅 能 够 快速 定位 MBR、 
DBR 的 位 置 , 而 且 利 用 WinHex 的 模板 管理 功能 , 既 能 直接 定位 相关 参数 位 置 ,防止 误 操 
作 , 又 能 核验 参数 是 否 合法 ,从 而 有 效 提 高 分 区 恢复 的 效率 。 
2. RAID 恢复 
本 书 2.10 节 中 已 经 介绍 了 了 RAID 恢复 的 技术 原理 ,本 部 分 就 不 青 重复 。 在 电子 数据 取 
证 中 ,对 RAID 进行 数据 恢复 操作 时 ,首要 的 就 是 保护 现场 ,标记 好 原 盘 的 盘 序 ,尽量 不 要 对 
原 盘 进行 操作 ,一 般 就 只 在 做 原 盘 完整 镜像 时 对 原 盘 进行 一 次 读 操 作 , 然 后 在 镜像 的 基础 上 


260 电子 数据 取证 


Offset 标题 数值 


Master bootstrap loader code B3 CO 8E DO BC 00 TC FB S50 O07 
1E8 Windows disk slenature 2hC3D22B 
1B88 Se EEE Se 2Bl2C32h 


Partition Table Entry #l 


1BE 80 = active partition 

1BF Start head 

1C0 Start sector 

1C0 Start cylinder 

1C2 Fartition type indicator (hex) 
1C3 End head 

1C4 End sector 

1C4 End cylinder 

1C6 Sectors precedine partit1ion 1 


1CA Sectors in partition 1 113772267 


Partition Table Entiyy #2 


1CE B80 = active part1t1on 
1D0 Start sector lt | 
1D0 Start cylinder 
1D2 Partition type indicator (hex) 


103 End head 
1 了 和 4 End sector 
114 End cylirnder 


2 
B3 
1 


0 


a 
23 

106 Sectors precedine partition 2 113772330 

1DA Sectors in partition 2 S62979670 


Fartition Table Entry #3 


1 了 下 80 = active part1it1on 

1 了 了 Start head 

1E0 Start sector 

1E0 Start cvylinder 

1E2 Partition type indicator (hex) 
1E3 End head 

1E4 End sector 

1E4 End cylinder 


6.134 物理 驱动 器 HD0 的 MBR 中 分 区 表 信 息 


进行 RAID 恢复 操作 。 对 RAID 进行 恢复 时 ,主要 是 在 确定 起 始 扇 区 、 条 带 大 小 、 盘 序 、 校 验 
方向 、 同 步 异 步 等 信息 的 基础 上 进行 RAID 重组 。 下 面 就 以 一 个 由 3 块 物理 硬盘 组 成 的 
RAID5 来 讲解 如 何 进 行 RAID 恢复 。 

首先 将 3 块 物理 硬盘 去 RAID 化 ,从 服务 器 的 人 硬盘 槽 位 中 取出 硬盘 ,并 按照 槽 位 顺序 对 
硬盘 进行 编号 ,然后 将 每 块 硬盘 做 成 位 对 位 的 硬盘 镜像 文件 。3 块 物理 硬盘 的 镜像 文件 分 
别 以 服务 器 硬盘 槽 位 中 的 顺序 命名 为 “1. img”“2. img”“3. img”, 即 “1. img” 为 硬盘 1， 
“2. img” 为 便 盘 2 3. img” 为 便 盘 3。 

(1) RAID 起 始 虱 区 的 分 析 方 法 

RAID 起 始 届 区 是 指 RAID 内 的 数据 在 每 块 物理 便 盘 上 的 起 始 位 置 。 通 稼 情况 下 ， 
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Offset 标 显 
TEDD MF LImrstruct1om 
TEU3 File system JJ] 
TEDB Bvtes per sector 
TEDD Sectors per cluster 
TEOE Reserved sectors 
TE1D 【always rero) 

TEl13 iurmused) 

TEl1S Media descriptor 
TE1B unused) 

TE18 Sectors per track 
TElA Heads 

TEl1C Hidden sectors 


TE2U [urused) O00 bb DO DUO 
TE28 Total sectors ll37T7T2266 


TE30 Start C# $MFT 

TES38 Start C# $MFTMiYY 

TE40 FILE record sire indicator 
TE41 nused) 

TE44 THDi butfer sire 1ndicator 
TE45 (urmused) 


TE48 32-bit serial mmber Ihex) BE 94 48 2C 
TE4B 32-bit SN (hex, reversed) 2C4994BE 
TE4G B4-bit serial mmber lhex) BE 34 453 2L Be 45 <L 20 


TESU Checksum 


TE Sigatwe 65 A 


6.135 分 区 1 的 DBR 中 BPB 参数 


RAID 起 始 扇 区 也 就 是 物理 硬盘 的 起 始 扇 区 , 即 0 号 扇 区 ,但 是 如 果 RAID 配置 信息 和 管理 
信息 写 在 物理 人 硬盘 的 前 部 时 ,RAID 的 起 始 扇 区 就 不 会 在 物理 硬盘 的 头 部 ,找到 RAID 起 始 
扇 区 是 分 析 RAID 结构 的 第 一 步 。 如 图 6. 136 所 示 ,使 用 WinHex 在 同一 屏幕 中 并 列 显示 
3 块 物理 便 盘 的 第 一 个 而 区 。 

上 图 可 以 看 到 这 三 块 物理 便 盘 0 号 大 区 都 有 引导 程序 、 分 区 表 结束 标志 等 信息 ,分 区 
表 中 使 用 了 1 个 分 区 表 项 ,那么 可 以 初步 判定 0 号 扇 区 就 是 该 RAID5 的 起 始 扇 区 ,在 后 面 
分 析 RAID 的 其 他 结构 信息 时 还 要 做 进一步 的 验证 。 

(2) RAID 条 市 大 小 的 分 析 方 法 

条 带 也 称 为 块 大 小 ,是 RAID 处 理 数 据 的 基本 单元 ,分 析 条 带 大 小 是 恢复 RAID 数据 至 
关 重 要 的 一 个 环节 。 分 析 条 珊 大 小 大 部 分 是 依 徘 文件 系统 结构 进行 辅助 分 析 计 算 。 这 里 就 
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qr 本 盘 了 
Offaat | 日 二 了 3 二 aaB 了 卫 瑟 王 | 具 
00000000 |33 c0 8E DO Ba 00 7C FB 50 07 50 1F FO BE 18 7C|3ABW ap Pi | 时 
00000010 |BF 1B 06 50 57 B9 ES 01 F3 A4 CB BD BE 07 Bl 04 | é PWwié 6nEkY + 
00000020 |38 6E 00 ?CC 09 75 13 83 C5 10 FE2 F4 CD 18 8B FS5 |8n | wu 和 二 GT 18 
00000030 |83 C6 10 49 74 19 38 2C 74 F6 AD B5 07 B4 07 8B | lA It Bt5H 8 
00000040 |FO AC 3C 00 74 FC BB 07 00 B4 0E CD 10 EB F2 898 | Sm¢ ti» 工 sol 
00000050 | 4E 10 ES 46 00 73 2A FE 46 10 80 7E 04 0B 74 0B |N eeF sbF I~ +t 
00000060 |80 7E 04 bc 74 05 AD B6 07 75 D2 80 46 02 06 83 | 4™~ t udlF 1 
D00000070 | 46 08 06 83 56 OA O00 E6 21 00 73 05 AD BB O07 EB IF IY él s 村 总 
00000080 |BC 81 3E FE 7D 55 AR 74 0B 80 7E 10 00 74 C8 AD | WISb}Uat I~ teE 
000D00090 |B7 07 EB A9 988 FC 1E 57 8B FS5 CB BF 05 00 8 56 | éli WISEe IV 
D000000A0 |00 B4 08 CD 13 72 23 BA Cl 24 3F 98 BA DE BA FC | “ 1 r#lAS?1IlPIii 
000000B0 |43 F7 E3 8B D1 86 Dé B1 06 D2 EE 42 F7 E2 39 56 | C8INIO+ 0iB=:&9 

| 
扇 区 0 / 6168960 偏 称 量 : BF 


= 斌 瘟 6 
Et | 上 汪汪 尖 有 下 和 和 上 本 酒 Ri 渤 | 当 
00000000 |33 co BE D0 BC 00 7¢ FB 50 07 50 1F FC BE 18 7C | 3AIDM |ap P iN | 坚 
00000010 |BF 1B 06 50 S57 B9 ES5 01 F3 A4 CB BD BE 07 B1 04 | ¢ Pwié OEW% + 
00000020 |38 6E 00 ?7¢ 09 75 13 83 C5 10 E2 F4 CD 18 8B FS5 | Bn | uv IA a61l 18 
00000030 |83 C6 10 49 74 19 36 2C 74 F6 AD B5 07 B4 07 8B IA It BB,t5 uy 1! 
00000040 FO ac 3C 00 74 FC BB 07 00 B4 OF CD 10 EB F2 88 87¢ tii» “ i él 
00000050 | 4E 10 E8 46 00 73 2A FE 46 10 80 7E 04 0B 74 0B |N &F s*bF I~ +t 
00000060 |80 7E 04 OC 74 05 A0 B6 07 75 D2 80 46 02 06 83 | II 七 udlF 1 
00000070 |46 08 06 83 56 0a 00 E8 21 00 73 05 A0 B6 07 EB IF IYVY él s Me 
00000080 |BC 81 3E FE 7D 55 aa 74 OB 80 7E 10 00 74 C8 AO | WI>Yb}Uuat I~ tE 
00000090 |B7 07 EB A9 8B FC 1E 57 8B FS CB BF 05 00 8A 56 | 。 总 四 上 WISEé VY 
000000A0 |00 B4 08 CD 13 72 23 BA Cl 24 3F 98 BA DE BA FC | ”二 r#lAS?IIPIii 
00000080 |43 F7 E3 8B8 D1 86 D6 Bl 06 D2 EE 42 F7 E2 39 56 | C-SINIOt OiB+-a9V 
局 区 0 / B1689E0 人 坑 稼 量 : 30 
= 机 盘 5 
bffset | 上 2 3 十 厂 日 他 日 村 去 日 | A 
00000000 |33 co BE DO BC 00 7¢ FB 50 07 50 1F FC BE 1B8 7¢ | 3 |iP B i | 畦 
00000010 |BF 1B 06 50 57 B9 E5 01 F3 A4 CB BD BE 07 Bl 04 ¢ Pw!ié OEl% + 
00000020 |38 6E 00 7C 09 75 13 83 C5 10 E2 F4 CD 18 8B FS5 en | uu IA aal 1 
D00000030 |83 C6 10 49 74 19 38 2C 74 F6 AD B5 07 B4 07 8B | IA It 8,t5 uy "| 
00000040 |FO AC 3C 00 74 FC BB 07 00 B4 0F CD 10 EB F2 88 | Sn¢ ti ”TI eol 
D00000050 | 4E 10 ES8 46 00 73 2A FE 46 10 80 7E 04 0B 74 0B IN éF s*bF I~ t 
00000060 |80 7E 04 OC 74 05 A0 B6 07 75 D2 80 46 02 06 83 | 4™~ tt udlF | 
00000070 |46 08 06 83 56 [aa 00 E8 21 00 73 05 AD B6 07 EB |IF IYVY él! s dé 
00000080 |BC B81 3E FE 7D 55 AA 74 OB 80 7E 10 00 74 C8 AD | WI>Yb}Uat I~ tE 
00000090 |B7 07 EB A9 8B FC 1E 57 8B FS5 CB BF 05 00 8A 56 | 总 加 1 WISEé 【TY 
000000aA0 |00 B4 08 CD 13 72 23 8A C1 24 3F 98 BA DE 8A FC | “ 1 r#lAS?1IPI 
000000B0 |43 F7 E3 6B D1 86 Dé B1 06 D2 EE 42 F7 E2 39 56 | C+-&INIO+t oiB:89 
| 所 
肩 区 0 /8189960 坊 称 量 : 了 | 


图 6.136 3 块 物 理 硬 盘 的 第 一 恒 区 


讲解 常用 的 Windows 系统 下 ,NTFS 文件 系统 的 RAID 条 带 大 小 分 析 方 法 。 在 NTFS 文件 
系统 中 ,$ MFT 文件 是 一 个 最 大 的 元 文件 ,可 以 利用 这 个 文件 来 分 析 RAID 条 带 大 小 。 利 
用 $ MFT 分析 RAID 条 市 大 小 分 两 种 情况 : 一 种 是 $MFT 文件 中 有 文件 记录 号 ,例如 
Windows XP、Windows 2003、Windows Vista、Windows 2008 等 系统 格式 化 的 NTFS 分 区 ; 
男 一 种 是 $MFT 文件 中 没有 文件 记录 号 ,例如 Windows 2000、Windows NT 等 系统 格式 化 
的 NTFS 分 区 。 

QD $MFT 文件 中 有 文件 记录 号 的 情况 

首先 找到 每 块 物理 人 硬盘 中 的 $MFT 文件 记录 ,并 且 保 证 找到 的 文件 记录 在 每 块 物理 
便 盘 的 同一 肩 区 ,然后 查看 这 些 文件 记录 的 文件 记录 号 ,如 图 6.137 所 示 。 物 理 人 硬盘 在 同一 
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局 区 的 文件 记录 号 分 别 为 65、1, 两 个 记录 号 两 两 之 间 的 差 是 64, 这 就 说 明 该 RAID 条 市 大 
小 是 64 个 文件 记录 的 大 小 ,而 每 个 文件 记录 为 2 个 局 区 ,所 以 条 市 大 小 为 128 朵 区 。 


= 大盘 6 

Offset 是 一 六 本 3 一 过 下- 看 一 有 一 日 一 此 -二 及 一 二 下 一 和 下 

20008200 |46 49 dc 45 30 00 03 00 2D OF 00 01 00 00 00 00 FILEO - 
20008210 |01 00 01 00 38 00 01 00 58 01 00 00 00 04 00 00 9 基 
20008220 |00 00 00 00 00 00 00 00 04 00 00 00 O01 00 00 00 

20008230 |07 00 00 00 00 00 00 00 10 00 00 00 60 00 00 00 

20008240 |00 00 18 00 00 00 00 00 48 00 00 00 18 00 00 00 H 
20008250 02 73 68 9E 16 28 DO O01 02 73 68 9E 16 28 DO 01| sh (7 sh (7? 
20008260 02 73 68 9E 16 28 DO 01 02 73 68 9E 16 28 D0 01| shl (? shl (? 
20008270 |06 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 

20008280 |00 00 00 00 00 ol 00 00 00 00 00 00 00 00 00 00 


20008290 | 00 00 00 00 00 00 00 00 30 00 00 00 70 00 00 00 0 op 
200082A0 (00 00 18 00 00 00 02 00 5S52 00 00 00 18 00 01 00 R 
<0008<B0 |05 00 00 00 00 00 05 00 Oz 73 68 9E le <8 DU 01 shl {? 
| 
局 区 1046641 / 6168960 坊 移 量 : 2000822F 


“、" 诗 盘 了 
Offset 0 站 这 号 下 E 


| 20008200 (46 49 4C 45 30 00 03 00 FB 8B4 00 01 00 00 00 00|FILED 


20008210 bl 00 01 00 38 00 01 00 50 01 00 00 00 04 00 00 日 EB 
20008220 00 00 00 00 bo 00 00 00 04 00 00 00 41 O00 00 00 三 
0008230 |0< 00 00 00 00 00 00 00 10 00 00 00 60 00 00 00 
<0008z40 | 00 00 bu 00 00 00 O00 00 46 00 00 00 198 00 00 00 Hi 


20008250 |88 42 DA& FO 18 28 DO 01 00 97 B83 98 71 5C CF 0l1| 查 降 (7? 1 硫 gq™\? 
20008260 52 22 46 DB 71 SC CF ol 8A 42 DA F0 18 28 DD 01  R"Higq\? 生 聊 (? 
20008270 | 20 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
0008az80 00 00 00 00 04 01 O00 00 00 00 00 00 00 00 00 00 


200082390 |00 bo 00 oo 00 oo bo oo 30 00 00 bo 68 Do 00 00 0 h 

20008zA0 |00 bb bu 00 bu bb bc bb sc bo 00 bo 19 00 01 0O0 L 

20008z280 |3C 00 00 00 00 00 01 00 ba 42 DA FO 19 28 DO O01 | «< 得 阶 (? 
高 区 1048641 / 6168960 | 偏 移 量 : 2000822F ， 


图 6.137 $MFT 同 扇 区 文件 记录 号 


$ MFT 文件 中 没有 文件 记录 号 的 情况 

如 果 $MFT 文件 中 没有 文件 记录 号 ,就 不 能 通过 上 面 的 方法 来 判断 RAID 条 带 大 小 ， 
RAID 级 别 不 同 , 条 带 大 小 分 析 方 法 又 分 为 两 种 情况 : 一 种 是 不 含 校 验 的 RAID ,主要 是 指 
RAID0 ,对 于 这 种 RAID 的 条 市 大 小 分 析 没 有 固定 方法 ,但 是 RAID 条 市 大 小 一 定 是 2 的 NN 
次 方 ,通过 分 区 信息 .文件 系统 信息 等 可 以 辅助 分 析出 RAID 条 带 大 小 ; 另 一 种 情况 是 包含 
校 验 的 RAID, 主 要 是 指 RAID4、RAID5、RAID6、RAID5EE 等 ,对 于 这 种 情况 ,就 可 以 借助 
校 验 条 市 进行 分 析 , 首 移 利 用 $ MEFT 中 的 文件 记录 进行 判断 ,在 一 块 物理 人 硬盘 中 找到 一 个 
校 验 条 种 的 开始 大 区 , 记 住 这 个 而 区 号 ,继续 往 后 找 ,后面 会 有 连续 的 一 些 校 验 抽 区 ,直到 出 
现 正常 数据 的 肩 区 , 校 验 开始 局 区 到 正常 数据 开始 肩 区 之 间 的 户 区 数 就 是 一 个 条 带 的 大 小 。 

对 于 物理 硬盘 数 为 奇数 的 RAID5 ,同一 条 带 组 中 正常 数据 的 条 带 数 就 是 偶数 ,数量 为 
偶数 的 相同 数值 经 过 异 或 运算 结果 一 定 是 0,$MFT 的 头 标志 “46 49 4C 45” 经 过 异 或 运算 
后 就 是 四 个 “00” ,这 就 很 容易 辨认 ,如 图 6. 138 所 示 。 

而 对 于 由 偶数 物理 便 盘 组 成 的 RAID5, 同 一 条 市 组 中 正常 数据 的 条 囊 数 就 是 奇数 , 数 
量 为 奇数 的 相同 数值 经 过 异 或 运算 结果 一 定 还 是 原 数 值 , $ MFT 的 头 标志 “46 49 4C 45” 经 
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一 姐 熏 5 


Dtfsaet | 0 1 < 3 4 > 6b + 日 bi 村 下 下 | 轴 
e0008200 | Un bu 00000 00 00 00 De BB 00 00 00 00 00 00 
D0008210 00 00 00 U0 00 00 00 00 08 00 00 00 00 00 O00 00 ! 
DU08220 |00 00 00 O00 00 00 O00 00 00 00 00 00 #40 00 U0 00 四 = 


<0UU08<30 | 05 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 

<UU06<40 |00 00 18 00 00 00 00 00 00 00 00 00 00 00 00 00 

20008250 /88 31 B2 6E 0OE 00 00 00 02 E4 DB 06 67 74 IF 00|7 上 量 I? gt 
20008260 |50 51 20 45 67 74 iF 00 88 31 B2 6E 0E 00 00 00 FQ Egt ?了 蚜 
e0008270 26 O00 00 00 00 00 UU0 00 00 00 00 00 00 00 00 00 & 

DU08280 |00 00 00 00 04 00 90 00 00 00 90 00 00 00 00 00 

20008290 |00 00 00 00 00 00 bo 00 00 00 00 00 18 00 00 00 

2000822&0 |00 00 18 00 00 00 00 00 1E 00 00 00 00 00 00 00 


200082B0 |39 00 00 00 00 00 04 00 388 31 BZ 6E DE 00 00 00 .9 ? 嫩 
3 
扇 区 1046641 / B168960 慷 乏 且 : 20008200 
二 鲜 盘 日 
站 下 ES | 党 当 二 省 字 目 “ 司 -和 和 二 入 一 下 第 | " 
20008200 | a6 49 4@ 45 30 00 03 00 2D OF 00 01 00 ob 00 00 | FILEO 一 
20008210 |01 bo ol bo 38 00 bl 00 568 bl bo 00 00 04 00 00 日 六 


<Q0U008220 |00 00 00 00 00 00 00 00 04 00 00 00 01 00 00 00 : 
0008230 O07 00 00 00 00 00 00 00 10 00 00 00 60 00 00 00 
20008240 |00 00 18 00 00 00 00 00 46 00 00 00 18 00 00 00 H 
<0008250 IU2 73 pb 9E lb 28 DO 0l Ve 13 68 9E le 28 DO 01| sh (fr Shi i{? 
20008260 |02 7368 9E 16 28 DO 01 O02 73 68 9E 16 28 D0 01| sh (7 shl 1{? 
<0008270 U6 00 00 00 00 00 00 00 00 00 00 00 U0 00 00 00 

<0008280 |00 00 00 00 00 01 00 00 00 00 00 00 00 00 00 00 


200082930 |00 00 00 00 00 00 00 00 30 00 00 00 70 00 00 00 0 op 

<DU082A0 00 00 18 00 00 O00 U< 00 ve O00 900 0U0 18 00 01 00 下 

20008280 |05 00 00 00 00 00 05 00 be 73 68 9E 16 28 DO 01 shl i{? 
扇 区 1046641 /6166960 偏 称 县: 20008203 
* 三 盘 了 


Offset |0 1 234567 8 9ABCD EF| 
20008200 (#46 49 ace 45 30 O00 03 00 EB B4 00 O01 bo 00 00 00 | FILEO 


0008210 (01 00 01 00 38 00 01 00 50 01 00 00 00 04 00 00 日 FP 
20008220 ‘00 00 00 00 00 bo oo 00 04 00 00 00 41 00 00 00 A 
0008230 ‘02 00 00 00 00 00 00 00 10 00 00 00 60 00 00 00 
0008240 ‘00 00 00 00 00 00 00 00 46 00 00 00 18 00 00 00 H 


20008250 |8A 42 DA F0 18 28 D0 01 00 97 B83 398 71 5C CF 01 奉 聊 (7? 1 友 q\? 
20008260 |52 22 46 DB 71 SC CF 01 8A 42 DA F0 18 26 D0 01 R"HIg\? 和 始 隐 (7? 
20008270 20 00 00 00 00 00 bu 00 00 00 00 00 00 00 00 00 
0008280 ‘00 00 00 00 04 bl bo oo 00 00 00 00 00 00 00 00 


20008230 00 00 ou bo oo 00 00 00 30 00 00 00 se 00 oo 00 0 h 

2000822&0 |00 00 ou bo oo bo 02 00 sc bo 00 bo 18 00 ul O00 L 

200082B0 |3¢ oo 00 bo oo bo 01 00 BA 42 DA FO 18 28 DO O01 « 全 耻 (? 
扇 区 1048641 / B168960 仿 移 量 : 20008203 


图 6.138 3 块 物理 硬盘 RAID5 


过 异 或 运算 后 还 是 ”46 49 4C 45”, 这 就 不 易 判 断 了 ,这 时 就 需要 通过 具体 分 析 文 件 记 录 中 的 
每 个 属性 值 是 否 正确 或 合法 来 进行 判断 了 ,例如 10H 中 的 时 间 值 是 否 合 平和 常规 ,30H 属性 
中 的 文件 名 是 否 正 常 .80H 属性 中 的 Run List 结构 是 否 正确 等 ,都 能 够 分 析出 哪个 扇 区 是 
校 验 局 区 。 

(3) RAID 成 员 盘 盘 序 的 分 析 方 法 

盘 序 的 分 析 方 法 也 很 多 ,这 里 介绍 借助 $ MFT 文件 记录 判断 盘 序 的 方法 。 借 助 
$ MFT 文件 记录 判断 盘 序 的 方法 也 分 有 文件 记录 号 和 没有 文件 记录 号 两 种 情况 。 如 琳 
$ MFT 的 文件 记录 中 有 文件 记录 号 ,那么 记录 号 从 小 到 大 排列 的 顺序 基本 就 是 盘 序 了 ,但 
是 RAID5 还 要 涉及 数据 的 方 回 ,文件 记录 号 从 小 到 大 排列 的 顺序 仅 可 作为 参考 。 
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如 果 $ MFT 的 文件 记录 中 没有 文件 记录 号 , 盘 序 判断 就 比较 复杂 ,特别 是 对 于 RAID5 
来 说 ,需要 先 判 断 出 校 验 方向 ,然后 再 用 物理 硬盘 中 的 校 验 块 反 推出 该 物理 硬盘 上 第 一 个 校 
验 块 所 在 的 扇 区 ,进而 分 析出 RAID5 中 物理 硬盘 盘 序 ,具体 方法 将 在 RAID5 校 验方 向 的 分 
析 方 法 部 分 进行 介绍 。 

(4) RAID5 校 验 方 癌 的 分 析 方 法 

RAID5 的 校 验 方 回 分 为 * 左 ”和 “ 右 ” 两 个 方 器 ,如 图 6. 139 和 图 6. 140 所 示 ,对 于 校 验 
块 从 最 后 一 块 物理 硬盘 开始 ,依次 往 前 面 的 物理 硬盘 中 排列 的 称 为 “ 左 结 构 ”, 对 于 校 验 块 从 
最 前 面 一 块 物理 硬盘 开始 ,依次 往 后 面 的 物理 硬盘 中 排列 的 成 为 “ 右 结 构 ”"。 如 果 在 已 经 分 
析出 RAID 起 始 扇 区 、 条 带 大 小 、 盘 序 的 情况 下 ,只 需 找 到 每 块 物理 便 盘 上 的 校 验 块 ,然后 比 
照 图 6.139 和 图 6. 140 ,就 很 容易 可 以 确定 校 验 方向 是 “ 左 ? 还 是 “ 右 ” 了 。 


6. 139 左 结 构 的 人 AID5 6.140 右 结 构 的 RAID5 


如 果 只 确定 了 RAID 起 始 忆 区 和 条 融 大 小 ,没有 确定 盘 序 的 情况 下 ,就 需要 通过 反 推 确 
定 校 验 的 方向 ,进而 确定 盘 序 。 如 图 6. 141 和 图 6. 142 所 示 ,假设 有 两 个 分 别 由 3 个 物理 硬 
盘 构 成 的 RAID5,RAID 起 始 扇 区 都 是 物理 硬盘 的 0 号 扇 区 ,条 带 大 小 都 是 16 个 扇 区 , 校 验 
方 问 一 个 是 左 结构 ,一 个 是 右 结 构 ,逻辑 盘 为 MBR 结构 ,分 区 格式 为 NTFS。 


4 号 条 带 (48 一 63 扇 区 ) 


ca 


3 号 条 带 (32 一 47 肩 区 ) 


0 | 

1 
mm | 
mm | | 


图 6.141 左 结 构 的 RAID5 示意 图 
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EET EE 
mm | 
| 


EE 
| 
| 
CT 
| 


图 6.142 右 结 构 的 RAID5 示意 图 


由 于 RAID 开始 位 置 是 物理 硬盘 的 0 号 扇 区 ,因此 必定 有 一 块 物理 硬盘 的 0 号 扇 区 是 
MBR 书 区 (也 可 能 有 两 块 物理 硬盘 0 号 悄 区 有 MBR , 另 一 个 是 校 验 ) ,对 于 左 结构 来 说 ,0 
号 局 区 是 MBR 的 物理 硬盘 一 定 是 RAID 的 1 号 盘 ; 对 于 右 结 构 来 说 ,0 号 扇 区 是 MBR 的 
物理 硬盘 一 定 是 RAID 的 2 号 盘 。 但 是 从 物理 硬盘 前 部 的 条 带 往 往 无 法 分 析出 校 验 条 带 ， 
这 就 要 利用 $$ MFT 区域 进行 分 析 。 通 过 搜索 或 者 BPB 计算 ,可 以 找到 每 块 物理 硬盘 中 的 
文件 记录 ,并 可 利用 前 面 讲 过 的 方法 ,在 文件 记录 区 域 找到 校 验 条 带 。 

假设 在 图 6. 141 的 人 硬盘 1 中 132 号 忆 区 发 现 校 验 销 区 ,那么 132 号 书 区 所 在 条 带 就 是 
校 验 条 市 ,然后 利用 在 便 盘 1 中 找到 的 校 验 而 区 号 对 条 市 大 小 与 盘 数 的 乘积 取 余 , 即 

132 MOD(16X 3)=36 

计算 的 结果 等 于 36, 也 就 是 说 36 号 而 区 一 定 是 校 验 ,从 图 6. 141 可 以 看 到 36 号 大 区 
位 于 3 号 条 带 , 所 以 硬盘 1 的 3 号 条 带 是 该 盘 的 第 一 个 校 验 条 带 ,那么 1 号 条 带 和 2 号 条 带 
只 能 是 数据 条 带 了 ,而 0 号 局 区 又 是 MBR, 所 以 便 盘 1 一 定 是 1 号 盘 , 该 RAID5 就 只 能 是 
左 结 构 了 ,然后 在 便 盘 2 和 硬盘 3 中 找到 某 个 校 验 届 区 ,用 取 余 的 方法 算出 它们 的 第 一 个 校 
验 块 所 在 的 位 置 ,根据 首 个 校 验 条 带 的 位 置 先后 就 能 确定 它们 的 盘 序 了 。 

再 看 图 6.142, 这 个 RAID5 中 便 盘 2 的 第 一 个 届 区 是 MBR, 可 以 到 它 的 文件 记录 区 域 
找 一 个 校 验 届 区 ,假设 为 121 号 月 区 。 计 算 该 盘 第 一 个 校 验 块 所 在 位 置 的 方法 : 

121 MOD(16X3)=25 

计算 的 结果 等 于 25, 这 个 值 的 含义 是 25 号 朵 区 一 定 是 校 验 , 从 图 6. 142 可 以 看 到 25 
号 大 区 位 于 2 号 条 市 ,所 以 人 硬盘 2 的 2 号 条 市 是 该 盘 的 第 一 个 校 验 条 市 ,那么 1 号 条 市 和 3 
号 条 带 只 能 是 数据 条 带 了 ,而 0 号 扇 区 又 是 MBR ,所 以 硬盘 2 一 定 是 2 号 盘 ,该 RAID5 就 
只 能 是 右 结构 了 ,然后 再 去 便 盘 1 和 人 硬盘 3 中 找到 某 个 校 验 忆 区 ,用 取 余 的 方法 算出 它们 的 
第 一 个 校 验 块 所 在 的 位 置 ,也 就 能 确定 它们 的 盘 序 了 。 
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(5) RAID5 数据 同步 与 异步 的 分 析 方 法 

RAID5 的 数据 方向 分 为 同步 和 异步 。 如 图 6. 143 和 图 6. 144 所 示 ,对 于 每 个 条 带 组 内 
的 数据 块 均 由 低 号 盘问 高 号 盘 依 次 写 入 的 数据 块 排 列 方 回 称 为 “异步 ”; 对 于 每 个 条 市 组 内 
的 第 一 个 数据 块 首先 写 入 校 验 块 所 在 物理 硬盘 的 下 一 物理 硬盘 中 ,其 余数 据 块 再 依次 写 入 
的 数据 块 排列 方 回 称 为 "同步 ”。 


图 6. 143 异步 结构 的 RAID5 示意 图 图 6.144 同步 结构 的 RAID5 示意 图 


下 面 就 以 一 个 左 结构 的 RAID5 为 例 , 讲 解 RAID5 数据 同步 与 异步 的 分 析 过 程 。 
图 6. 145 为 某 左 结构 RAID5。 


| 
EECZOERCTID 


me wi | RAO 
ax 


图 6.145 左 结构 RAID5 


J 从 “数据 块 A” 入 手 。 查 看 “数据 块 A? 的 末尾 书 区 的 数据 “数据 块 B” 和 ”数据 块 D” 
开始 局 区 的 数据 ,如 果 “ 数 据 块 A? 末 尾 朵 区 的 数据 能 够 与 “数据 块 B” 开 始 扇 区 衔接 ,那么 该 
RAID 属于 异步 结构 ,如 果 “ 数 据 块 A” 末 尾 扇 区 的 数据 能 够 与 “数据 块 D? 开 始 扇 区 衔接 , 那 
么 该 RAID 属于 同步 结构 。 

从 “数据 块 C” 入 手 。 如 果 从 “数据 块 A” 上 看 不 出 数据 衔接 性 ,还 可 以 从 “数据 块 C” 
和信 手 分 析 。 查 看 “数据 块 C” 的 末尾 书 区 的 数据 “数据 块 D” 和 “数据 块 F” 开 始 户 区 的 数据 ， 
如 果 “ 数 据 块 C? 末 尾 扇 区 的 数据 能 够 与 “数据 块 D” 开 始 届 区 衔接 ,那么 该 RAID 属于 异步 
结构 ,如 果 “ 数 据 块 C” 末 尾 届 区 的 数据 能 够 与 “数据 块 F” 开 始 怖 区 衔接 ,那么 该 RAID 属于 

从 “数据 块 D” 和 入手。 如 果 从 “数据 块 C”" 上 也 看 不 出 数据 衔接 性 ,还 可 以 从 “数据 块 
D” 入 手 分 析 。 查 看 “数据 块 D” 的 末尾 刷 区 的 数据 “数据 块 E” 和 “数据 块 B” 开 始 届 区 的 数 
据 , 如 果 “ 数 据 块 D?" 末 尾 朵 区 的 数据 能 够 与 “数据 块 E”" 开 始 肌 区 衔接 ,那么 该 RAID 属于 寞 
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步 结 构 ,如 果 “ 数 据 块 D? 末 尾 朵 区 的 数据 能 够 与 “数据 块 B” 开 始 届 区 衔接 ,那么 该 RAID 属 
于 同步 结构 。 

从 “数据 块 E” 和 入手。 如果 从 “数据 块 D” 上 依然 看 不 出 数据 衔接 性 ,还 可 以 从 “数据 
块 E” 人 手 分 析 。 查 看 “数据 块 E?” 的 末尾 扇 区 的 数据 “数据 块 F” 和 “数据 块 H? 开 始 扇 区 的 
数据 ,如果 “ 数 据 块 E ?末尾 朵 区 的 数据 能 够 与 “数据 块 F" 开 始 朵 区 街 接 ,那么 该 RAID 属于 
异步 结构 ,如 果 “ 数 据 块 E” 末 尾 忆 区 的 数据 能 够 与 “数据 块 H” 开 始 届 区 衔接 ,那么 该 RAID 
属于 同步 结构 。 

数据 同步 与 异步 分 析 一 般 都 是 作为 分 析 RAID5 的 最 后 一 步 , 这 个 结构 分 析 完 了 ， 
RAID5 的 完整 结构 就 完全 分 析 结 束 了 ,之 后 就 可 以 借助 WinHex 等 工具 开始 重组 数据 了 。 


使 用 Raid Reconstructor(V4. 32) 分 析 RAID 结构 。 
工具 使 用 


Raid Reconstructor 是 Runtime 公司 开发 的 专业 RAID 数据 重组 工具 。 该 软件 最 大 的 
特点 就 是 能 够 实现 RAID 结构 的 分 析 。 打 开 Raid Reconstructor ,其 界面 如 图 6.146 所 示 。 


| | Raid Reconstructor (Yersion 4. 32) 

Exit Teols Nals 
Select the RAID type. HH ick “Analyze” and this piogram will detlermine 
Specily the number of drves in this RAID aaray. 1” the cormrmect stripe size, drive order and rotalion. 
Name the nput drives or images that constiute the RAID. : 
Chick "Open drives” Ss > Analyze 


Choose where you want to copy the RAID and 
then click "Copy’. 
| 


Lopy | 


Drrelt sa| HH Finally. use the recreated RAID image as mput 


for our GetDataBack”™” or "Captamn Nemo” and 


Drrell: complebe the data recowverg. 


记过 
Drmel3 
Drmeld 

济 
Start seclor of the RAID on each ndividual drive [usually OF 避 ~ 
Total sectors available in RAID: nia 


Blocksize: [16 sectors {8KB) 。 Paiity rolatiorc [Foward (1-2.3) "| 
Forwad 11-2-3 


果品 | 1 


Nemory in use: 432,904 0 log nessages | 


图 6.146 Raid Reconstructor 主 界面 


第 6 章 ”电子 数据 取证 技术 269 


这 款 软件 最 多 支持 14 块 RAID 成 员 盘 的 RAIDo 和 RAID5 的 分 析 , RAID5 的 结构 能 
文 持 “Forward(1-2-3)”( 右 异步 )“Backward(3-2-1)”( 左 异步 ) 和 “Backward(Cdyn. disk)” 
( 左 同步 ) 三 种 ,但 是 不 文 持 右 异 步 , 用 法 很 商 单 ,可 以 实现 RAID 结构 信息 的 分 析 和 镜像 文 
件 的 生成 。 如 图 6. 147 所 示 ,为 经 过 Raid Reconstructor 分 析 推 荐 出 的 可 能 组 合 结 果 。 


外 | Raid Reconstructor (Yersion 4. 32) 


加 BE oe 


Analyze 


128 sectors [B4 KB) — =- 

Start sector 0 :二 py the RAID and 
backward[3< 

128 sectors [B4 KB) 

Start sector 0 | | 

Backward (dyn disk] _ 轩 四 Pe 

128 sectors [64 KB) | 

Start sector 0 

Fonward [| -2-3 

128 sectors [64 KB | 

start sector 0 2 c 

Forward (12: Cory | 

128 sectors [64 KB] ] i 

chart sector 0O ptam Nemo” and 

Forward [1 -2-3] 


iFEd ER 


Start sector of the RAID “THIS RESULT I5 NOT SIGNIFICANTL* [Click for more...) 
Total sectors availal 


Block size: EE y < Back | Cancal | 
Close drives | Dpen drives 


Memory in use: 1,054,240 0 Loe 桓 丰 号 写 生 区 站 所 站 | 和 和 和 和 和 和 
图 6.147 Raid Reconstructor 分 析 结 果 


但 是 由 于 该 软件 对 RAID 结构 分 析 有 一 定 误 差 ,其 分 析 结 果 可 作为 参考 ,并 辅 以 手工 分 
析 。 分 析 完 成 后 ,就 可 以 按照 分 析 的 结果 将 RAID5 的 数据 块 按 顺序 生成 完整 的 镜像 了 ,人 然 
后 就 可 以 用 这 个 做 好 的 镜像 便 盘 或 镜像 文件 进行 进一步 的 数据 恢复 或 分 析 了 。 


2014 年 5 月 ,河北 省 公安 厅 在 对 一 起 网 络 虚拟 投资 诈骗 案 中 虚假 期 
贷 交 易 平 台 服 务 占 进行 取证 时 ,其 服务 器 均 采 用 了 RAID5, 而 且 盘 序 混 
乱 , 通 过 RAID 恢复 技术 ,将 12 台 服 务 喜 的 50 余 块 硬盘 进行 重组 ,从 中 提 
取 ,、 固 定 了 大 量 虚假 期 货 交 易 信 息 和 真实 资金 流 问 信息 等 关键 证 据 。 


场景 应 用 


6.11.2 崇 入 式 硬盘 录像 机 数据 恢复 


鲁 盘 录像 机 也 是 一 种 缠 能 系统 ,分 为 钥 入 式 和 通用 式 两 种 ,其 中 航 入 式 的 多 采用 Linux 
操作 系统 ,文件 系统 使 用 Linux、UNIX 或 日 定义 的 文件 系统 格式 ,也 有 用 FAT32 文件 系统 
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的 ; 而 通用 式 的 便 盘 录像 机 多 及 用 Windows 操作 系统 ,文件 系统 多 使 用 FAT32 或 NTFS 
格式 。 由 于 通用 式 便 盘 录像 机 应 用 范围 极 小 ,而 且 数 据 恢复 与 常规 Windows 系统 硬盘 恢复 
类 似 , 这 里 就 不 做 阐述 了 ,这 里 重点 以 当前 被 广泛 使 用 有 旦 取证 需求 较 大 的 舱 入 式 便 盘 录像 机 
的 数据 恢复 为 重点 进行 讲解 。 

这 些 种 类 签 多 的 便 盘 录像 机 类 型 和 视频 格式 造成 视频 恢复 程序 通用 性 难度 的 加 大 , 几 
平 每 种 类 型 和 视频 格式 都 需要 单独 的 程序 来 实现 视频 恢复 。 大 部 分 视频 格式 都 是 标准 H. 264 
格式 演变 过 来 的 ,每 个 厂家 或 产品 系列 在 H. 264 格式 的 基础 上 加 了 一 些 特殊 的 格式 或 标志 。 

1. 记录 硬盘 孙 像 机 的 重要 信息 

在 电子 数据 取证 中 ,为 了 提供 硬盘 录像 机 数据 恢复 效率 ,在 提取 人 硬盘 录像 机 时 要 记录 必 
要 的 信息 ,对 于 通信 式 便 盘 录 像 机 ,要 详细 记录 摄像 头 视 角 、 录 像 机 视频 线 连接 顺序 与 状态 ， 
做 到 摄像 头 与 录像 机 一 一 对 应 ,注意 查找 隐藏 的 录像 设备 ,扣押 物品 时 要 一 并 将 录像 机 电 
源 、 现 场 中 闲置 的 硬盘 等 扣押 ,在 关闭 录像 机 或 切断 录像 机 电源 前 ,应 记录 录像 机 的 当前 时 
间 信 息 以 及 与 北京 标准 时 间 的 差 值 ,查看 并 记录 录像 机 是 否 有 日 志 记 录 功 能 ,日 志 功 能 是 否 
开启 ,录像 方 式 视频 存储 与 备份 的 方式 以 及 循环 覆盖 模式 等 录像 机 配置 信息 。 

2. 分 析 人 硬盘 录像 机 视频 存储 的 格式 及 帧 格式 

大 部 分 人 刹 盘 录像 机 都 在 使 用 非常 规 的 文件 系统 ,在 常规 文件 系统 上 ,根据 视频 录像 的 特 
点 ， 对 文件 系统 进行 了 改动 ,而 且 为 了 提高 视频 存储 的 速度 和 安全 性 ,视频 存储 时 多 以 幅 的 
形式 进行 存储 ,而 常用 的 操作 系统 和 取证 软件 不 能 正确 识别 这 些 非常 规 的 文件 系统 和 视频 
帆 , 因 此 要 通过 对 便 盘 录像 机 视频 存储 的 文件 系统 和 帆 格 式 进行 分 析 人 研究, 查 明文 件 系统 和 
视频 帆 的 特征 ,然后 逐个 将 视频 帆 以 文件 的 形式 导出 。 

3. 硬盘 录像 机 视频 碎片 重组 和 通道 分 离 

人 硬盘 录像 机 为 了 便于 快速 检索 和 回放 ,会 将 摄像 头 的 时 间 信 息 .通道 信息 等 放 在 视频 文 
件 中 ,在 对 硬盘 录像 机 进行 数据 恢复 时 ,要 在 视频 帧 的 碎片 中 找到 视频 通道 信息 .时 间 信 息 
以 及 视频 帧 长 度 信息 等 ,根据 这 些 信 息 找 到 需要 恢复 的 视频 通道 的 特定 时 段 的 视频 帧 ,并 将 
视频 帧 碎片 重组 成 视频 文件 。 

下 面 以 大 立 某 款 相 人 式 人 硬盘 录像 机 为 例 ,对 其 硬盘 文件 格式 和 视频 帧 结构 进行 分 析 。 
经 分 析 ,该 于 便 盘 录像 机 文件 系统 第 一 届 区 结构 如 6. 148 所 示 , 文 件 系 统 以 “DALI240. R” 
为 开头 标志 ,在 40H 有 通道 标志 。 


Offset 0 1 zz 3 4 5 6 7 8 9 A B tC DD E 了 


000000000 |44 41 4C 49 32 36 34 30 00 52 00 00 00 00 00 00 | DAL12640.R...... 
000000010 |00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00| 
UUUUUDUU<U OU UU UU O00 OU O00 00 00 OU UU0 O00 O00 00 O00 00 O00 | ye 
000000030 |00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | .0 
000000040 |00 00 00 00 00 00 00 4 48 20 30 31 00 00 00 00|....... CH Vl1.... 


图 6.148 大 立 硬盘 录像 机 文件 系统 头 部 特征 


如 图 6. 149 所 示 ,视频 帧 是 以 “55 AA AA 55? 为 起 始 标 志 的 ,在 帧 头 部 偏 移 04H 一 07H 
处 的 “00 00 00 00? 为 上 一 视频 帆 的 时 间 长 度 信息 ,在 帧 头 部 俩 移 0CH 位 置 的 “00” 代 表 该 帆 
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视频 是 1 通 追 ,在 帆 头 部 偏 移 0EH 的 “01” 为 由 类 型 标志 ,由 类 型 如 表 6. 60 所 示 ,在 帧 头 部 
偏 移 10H 一 13H 处 的 “19 9D 0C 9A2? 为 该 视频 帧 的 起 始 时 间 ,为 2000-1-1 00:00:00 以 后 的 
绝对 秒 数 ,在 帧 头 部 俩 移 14H 一 17H 处 的 “00 00 05 0C” 为 本 视频 帆 的 时 间 长 度 信息 。 


表 6.60 帧 类 型 
Dttset | 0 1 2 3 4 5 6 7 8 3 A BB tC D E F 帧 类 型 | 标志 内 容 


000000100 58 aa AA 55 00 00 00 00 19 9D OC 9A 00 01 O01 46 | UaaU.....1.1...F 
000000110 |19 9D OC SA D0 00 05 DC 41 3A 2C ?7D 82 xc 15 DA| .1.1.. 


. .AN| YI1| LU py 

000000120 |5D 57 59 04 19 52 B8 26 AF 21 04 D6 1B 18 A6 D2 | ]WY..R,& 1.0..10 I 帧 00 量 

000000130 |71 7D 57 55 27 04 18 66 79 88 25 EF BS5 D4 66 dA | gq}WU' .fylXiOFT P 帧 01H 
000000140 |D7 D5 AC 75 2A El1 BF 1lC E3 F3 C0 9E 25 EDO 05 19 | xO-uxal .S61%a.. 

B 由 02H 

图 6.149 视频 帧 头 部 特征 音频 帧 03H 


通过 上 面 的 分 析 基 本 和 弄 清 了 大 立 某 和 葡 通 人 式 便 盘 录 像 机 人 硬盘 文件 系统 和 视频 帧 的 特征 
信息 ,根据 这 些 特征 就 可 以 在 硬盘 上 和 查找 并 恢复 被 删除 的 视频 ,但 是 如 果 仅 仅 依 徘 手 工 进行 
分 析 和 导出 ,其 工作 量 可 想 而 知 ,因此 可 以 利用 WinHex 的 脚本 编程 功能 ,制作 一 个 脚本 程 
序 ,实现 这 种 便 盘 录像 机 便 盘 视频 的 查找 .恢复 和 导出 。 

不 管 是 何 种 便 盘 录像 机 ,只 要 分 析出 视频 文件 的 格式 ,找到 视频 文件 涉 标 志和 视频 帆 标 
志 , 以 及 帆 标 志 对 应 的 通道 、 时 间 、 巾 长 度 和 贝 类 别 信 息 ,我 们 就 可 以 用 Winhex 的 脚本 编程 
实现 对 视频 帆 进 行 合 并 , 变 成 能 连续 播放 的 视频 文件 ,实现 对 视频 内 容 的 提取 和 恢复 。 


0.11.3 小 结 


数据 恢复 搁 术 作为 电子 数据 取证 的 基础 技术 ,经 历 了 较 长 时 间 的 换 过 和 探究 ,其 技术 日 浙 
成 熟 , 但 古 随 看 新 型 数据 存储 技术 的 不 断 应 用 ,数据 恢复 只 有 紧 随 存储 技术 发 展 ,根据 数据 存 
人 备 的 特性 ,有 针对 性 地 进行 数据 结构 人 研究 ,才能 更 有 效 地 解决 各 种 案件 的 电 了 于 数据 取证 需要 。 


6.12 硬件 修复 


如 果 保 存 数据 的 存储 介质 (如 硬盘 、U 盘 等 ) 出 现 了 物理 故障 ,不 能 正常 地 被 计算 机 系 
统 识 别 和 访问 ,在 这 种 情况 下 对 故障 介质 进行 修复 的 过 程 就 是 物理 修复 。 本 节 主 要 讲解 硬 
盘 固件 故障 修复 ,物理 故障 修复 和 芯片 级 故障 修复 的 方法 ,以 达到 深入 学 习 硬 件 修 复 技术 和 
方法 的 目的 。 
6.12.1 硬盘 固件 的 修复 

传统 硬盘 是 机 、 电 、 磁 一 体 化 的 复杂 系统 ,相同 的 故障 现象 可 能 是 固件 故障 造成 ,也 可 能 
是 物理 故障 引起 ,只 有 准确 判断 故障 原因 ,才能 选择 合适 的 修复 方法 ,提高 数据 恢复 的 成 功 
率 。 因 此 在 拿 到 故障 硬盘 进行 数据 恢复 之 前 ,一 定 要 做 好 准备 工作 ,获取 尽 可 能 多 的 信息 ， 
以 帮助 确定 故障 诊断 的 思路 。 硬 盘 故 障 大 体 判 定 思路 为 : 首先 看 硬盘 各 扇 区 能 否 被 
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EnCase、WinHex 等 软件 正 稼 谱 取 ,如 果 可 以 , 则 人 硬件 .固件 故 隐 无 法 形成 主导 影 啊 ,或 者 不 
存在 人 硬盘、 固件 故障 , 按 逻 辑 恢 复 处 理 即 可 ; 如 果 无 法 正常 谈 取 扇 区 , 则 要 检查 硬盘 是 否 有 
异 啊 ,如果 有 则 可 能 是 便 件 故障 或 固件 故障 ,或 着 二 者 都 有 ,需要 进一步 诊断 ; 如 果 没 有 噶 
啊 , 则 可 以 营 试 按 固件 故障 处 理 。 对 于 硬盘 固件 故障 一 般 通 过 清空 G-list 表 与 重 置 
SMART .刷新 FlashROM ,替换 固件 模块 、 热 交换 每 4 种 方式 对 硬盘 的 固件 进行 修复 ,使 其 
能 够 正常 工作 。 

由 于 固件 区 数据 较为 敏感 ,其 中 某 些 固件 数据 对 于 硬盘 操作 与 用 户 数 据 是 唯一 的 ,因此 
在 拿 到 一 块 硬盘 进行 固件 修复 之 前 首先 要 做 的 就 是 备份 硬盘 的 Flash ROM 固件 区 模块 、 
国 件 区 磁道 等 资源 ,以 便于 固件 修复 操作 出 错时 便于 回 深 。 下 面 就 介绍 硬盘 固件 修复 的 4 
种 和 常用 方法 。 

1. 清空 G-list 表 与 重 置 SMART 

在 硬盘 固件 中 ,硬盘 运行 发 现 缺 陷 时 就 要 随时 添加 到 G-list 表 中 ,SMART 值 作为 硬盘 
的 状态 参数 也 需要 经 常 进行 实时 更 新 ,G-list 模块 与 SMART 模块 由 于 频繁 读 写 成 为 固件 
区 最 容易 损坏 的 部 分 ,而 这 两 个 模块 的 修改 不 会 对 用 户 数 据 区 产生 严重 影响 。 因 此 清空 G-list 
表 与 重 置 SMART 可 以 作为 固件 修复 的 首要 方法 之 一 ,使 用 这 一 方法 的 时 候 , 有 的 硬盘 清 
空 G-list 后 可 能 会 导致 部 分 用 户 数 据 无 法 访问 ,但 总 体 来 说 影响 不 大 。 

2. 刷新 Flash ROM 

便 盘 Flash ROM 内 容 部 分 出 错 或 者 更 换 的 电路 板 Flash ROM 与 盘面 固件 区 版 本 不 一 
致 ,会 造成 便 盘 读 写 效率 下 降 .运行 变 慢 .不 稳定 等 问题 ,这 时 一 般 通 过 刷新 Flash ROM 的 
方法 恢复 硬盘 正常 运行 。 刷 新 Flash ROM 时 ,Flash ROM 模块 的 固件 版 本 必须 与 盘面 固 
件 区 固件 版 本 完全 一 致 ,如 果 电 路 板 的 Flash ROM 与 盘 体 不 兼容 可 能 导致 硬盘 初始 化 时 项 
头 , 所 以 刷新 Flash ROM 的 前 提 条 件 是 要 有 原 人 硬盘 的 ROM 内 容 备 份 。 

在 刷新 Flash ROM 时 ,如 果 便 盘 电源 不 稳定 、 数据 线 松 动 . 误 与 人 匹配 性 太 差 的 人 ROM 
( 非 相 同人 硬盘 家 族 等 ) .执行 写 人 后 断 电 太 快 ,可 能 会 造成 ROM 刷新 失败 。 刷 新 ROM 失败 
时 ,如 果 ROM 集成 在 主 控 忆 上 请 内 部 , 则 会 成 为 永久 故障 ,无 法 再 次 刷新 ,这 时 只 能 将 ROM 
世 片 吹 焊 下 来 ,使 用 ROM 编程 器 重新 尝试 进行 覆 写 。 

3. 固件 区 测试 与 修复 

如 果 清 空 G-list 表 与 重 置 SMART 刷新 Flash ROM 的 方法 不 起 作用 ,可 以 通过 检测 
硬盘 固件 模块 是 否 存 在 错误 ,对 盘面 固件 区 进行 进一步 测试 。 如 果 固 件 模块 中 有 错误 ,可 以 
从 本 地 的 人 硬盘 固件 库 中 找到 相应 的 固件 模块 , 蔡 换 尾 写 错误 模块 。 模 块 蔡 换 要 非常 音 慎 ,在 
履 写 该 模块 前 ,可 以 将 光标 移 到 该 模块 上 ,程序 会 提示 该 模块 的 重要 性 (本 人 硬盘 唯一 、 本 型 号 
唯一 、 本 家 族 唯 一 ,不 重要 等 ) , 据 此 衡量 确定 是 否 履 写 该 模块 。 对 损坏 模块 的 修复 切记 只 禾 
与 损坏 的 模块 ,而 不 要 用 男 一 块 便 盘 的 固件 履 写 全 部 固件 区 (所 有 人 磁 追 或 有 所 有 模块 )，。 

4. 热 交 换 

如 果 固 件 区 模块 无 法 替换 或 者 覆 写 不 成 功 ,可 以 考虑 使 用 热 交 换 的 方法 进行 修复 , 热 交 
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换 是 用 故障 盘 的 电路 板 与 好 盘 的 盘 体重 组 出 一 个 正常 的 硬盘 ,在 保持 通电 的 状态 下 ,再 将 好 
盘 盘 体 与 故障 盘 盘 体 互 换 , 借 此 跳 过 故障 盘 盘 面 固件 区 的 读 写 ,而 使 硬盘 内 的 数据 能 够 正常 
读 取 。 热 交换 的 成 功 与 否 常常 受 固 件 版 本 .磁头 映射 图 .区 域 分 配 表 . 译 码 表 等 因素 的 影响 ， 
成 功率 有 限 。 


F 


工具 使 用 


使 用 PC-3000 for UDMA(V5. 1.0.2554) 进 行 硬盘 固件 修复 。 


PC-3000 for UDMA 是 俄罗斯 ACE 实验 室 研 究 开 发 的 一 款 人 硬盘 修复 工具 ,该 软件 能 够 
模仿 工厂 模式 对 硬盘 进行 维修 。 下 面 以 型 号 为 WDC WD5000AAKX-753CA1 的 西数 人 硬盘 
为 例 ,介绍 固件 修复 的 方法 。 

(1) 清理 SMART 和 G-list 表 时 ,将 硬盘 与 PC-3000 板 卡 正确 连接 ,运行 PC-3000 程序 , 然 
后 选择 正确 的 品牌 和 系列 ,成 功 识 别 便 盘 家 族 后 ,启动 西部 数据 便 盘 专用 程序 ,如 图 6. 150 所 
示 , 通 过 Test 菜单 中 的 Clear S. M. A.R. 工 选项 可 对 SMART 属性 进行 重 置 。 


1)] 二 | 可 | 区 | 


三 | 可 | 区 | 


和 : Dk (Active’) 
| 


ConEioration Eeadingy . 
同年 笋 二 PASSFOFG. 。 。 -vonwunn 三 机 而 过 
User Password, .has no 本 器 尼 


图 6. 150 ”PC-3000 重 置 SMART 
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如 图 6. 151 所 示 ,通过 及 单 Tests Defect list 一 Erase defect list 一 G-list 来 执行 清空 
G-list 表 操 作 。 


: Ok iAotiveyk 
.45 (224) 
: hy default 


6.151 PC-3000 清空 G_list 表 


(2) 刷新 Flash ROM 时 ,通过 有 订单 Tests 一 service information 玉 Work with ROM 一 ~ 
Read ROM 来 执行 读 取 硬 盘 ROM 内 容 的 操作 ,如 图 6. 152 所 示 。 

通过 这 单 Tests 一 service information 一 Work with ROM-~ Write ROM 来 执行 写 ROM 
的 操作 ,如 图 6. 153 所 示 。 

(3) 检测 并 修复 固件 时 ,PC-3000 for UDMA 通过 荣 单 Tools 一 Utility extensions 一 
Modules directory 读 取 模块 目录 ,在 读 取 到 的 模块 目录 中 任意 选中 模块 上 右 击 ,选择 “Start 
SA checking” 开 始 进 行 固件 区 检测 ,如 图 6.154 所 示 。 

检测 结果 如 图 6. 155 所 示 ,检测 后 会 在 每 个 模块 的 ID 前 出 现 一 个 彩色 方块 ,其 中 绿色 
表示 完好 ,红色 表示 读 取 错误 ,可 以 据 此 对 错误 模块 进行 蔡 换 。 

选中 要 蔡 换 的 模块 右 击 ,选择 Rewrite module from DB ,可 以 从 数据 库 中 查找 到 合适 的 
便 盘 模块 进行 蔡 换 ,这 时 与 履 写 ROM 相似 。 

(4) 热 交 换 修复 固件 时 ,首先 要 对 好 盘 的 原始 模块 进行 备份 。 如 图 6. 156 所 示 , 通 过 羔 
单 Tools 一 HDD-~Standby 将 好 盘 的 主轴 电机 停 转 ,好 盘 的 电路 板 保 持 加 电 状 态 , 接 到 故障 
盘 盘 体 上 。 然 后 重新 启动 故障 盘 的 主轴 电机 ,通过 菜单 Tests 一 service information 一 Work 
with service area 悦 Reading modules 备份 故障 盘 固 件 。 
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站 FU WD LHIDER [IC Boerwell foamily atility LhTh- 1)] 


Tn 


ork ith BON 


RO MOdiles: 

Flash RON dir readimtg: 

业 0 届 LE 机 EECGt0rF EE 中 吕 刘 2 
SA reglions addresss 0 hy default 


SA Translator loadings sa as | Ok 


Heads COnTiguration, : By map 
Heade TmheEF, es 
Heads Tmbher in Ue, Hi 
Switohed off heade, .io 1 Ho 
HE i 四, 了 


RON Firmrare VeErsLOoNM: :oes 本身 各 了 和 各 于 


i 
RR dir Ewading (CED. : Dk 
hh .ee : CopBy 0,CoBF 1 


ConEioguration Teadingy : Ok 


Master Password, ; has not heen set 
Ueer Baseword, ,ss has not heen set 


图 6.152 PC-3000 执行 读 ROM 


FEC=3000 VIDk CHINR [TDC orsell foamily tility lhTh=—1)]| 


RO M6diles: 

Flash ROM dir readimts ss 

Modales directory addrea i 卫生 0 和 4 

SA reglions address sa hy default 


A TEAanslator On 晶 Ok 


Heaqds COnTELIration, : By may 
Heade TumbheEF ss 
Haeads Timmber in Ua a 
Switohed offE heagmss sr | Ho 

1 Ll Ki ; 和 ,1 


RON Firmmrare VEerFSLONR oo D0030036 


号 术 生生 忆 TE 
SA dir FEAdinoyg | 后 Ok 


pd to | 二 吉 直 十 京 二 区 区 避 疝 辣 基 区 攻 过 大 适 运 拓 看 囊 芭 贡 天 志 二 十 晤 通 :CoB OO,CopB¥ 1 

Confiquration readinmntgyg: :00 : Dk 

同 妆 tEEE PEE ; jia Not een et 
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然后 还 原 电 路 板 ,将 先前 提取 的 故障 盘 必 要 固件 模块 覆 与 到 好 盘 并 重建 详 码 表 。 将 好 
盘 断 电 再 加 电 ,重新 启动 PC-3000 ,将 主轴 电机 停 转 ,好 盘 电路 板 保持 加 电 状 态 , 接 到 故障 盘 
盘 体 上 ,再 局 动 主 轴 电 机 ,查看 故障 盘 数 据 。 最 后 通过 PC-3000 的 Data Extractor 工具 , 尝 


6.12.2 硬盘 物理 故障 修复 


在 第 2 章 已 经 介绍 过 ,硬盘 的 物理 故障 主要 包括 电路 板 故 障 、 磁 头 组 件 故 障 、 主 轴 电 机 
故障 、 盘 瞩 故 障 等 方面 。 这 些 人 硬盘 物理 故障 通 篆 通过 电路 板 故 障 修 复 和 开盘 修复 两 种 方式 
进行 解决 。 

1. 电路 板 故 障 修复 

硬盘 电路 板 故 障 一 般 出 现 于 供电 部 件 .接口 部 件 .缓存 部 件 .BIOS .电机 驱动 芯片 等 部 
位 。 如 图 6. 157 所 示 ,电路 板 易 出 现 故障 的 部 件 。 

对 于 电路 板 不 同 部 位 的 故障 ,采取 不 同 的 方法 处 理 。 对 于 电路 板 上 的 电阻 .电容 、 二 极 
管 三极管 . 场 效 应 管 等 元 件 出 现 故 障 , 如 果 具 有 一 定 的 电路 维修 知识 ,可 以 通过 测量 电阻 和 
电压 ,找到 受 损 元 件 ,更 换 成 相同 型 号 元 件 即 可 。 如 果 仅 为 了 恢复 人 硬盘 内 的 数据 ,在 不 擎 握 
电路 知识 的 情况 下 ,也 可 以 采取 使 用 相同 型 号 电路 板 奉 换 故 障 人 硬盘 电路 板 的 方法 使 硬盘 正 
常 工作 ,进而 提取 、 恢 复 硬 盘 内 的 数据 。 如 图 6. 158 和 图 6.159 所 示 , 某 硬盘 的 盘 标 .电路 板 
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图 6.157 硬盘 电路 板 上 的 元 件 
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只 有 相互 兼容 的 电路 板 奉 换 后 才 有 可 能 正常 使 用 ,但 是 很 多 硬盘 的 电路 板 上 都 有 一 颗 

BIOS 芯片 ,每 块 BIOS 芯片 内 都 有 一 些 独立 的 信息 ,这 些 信息 \ 必 须 与 硬盘 盘 片 上 的 固件 相 
匹配 ,这 时 只 有 把 故障 硬盘 电路 板 上 的 BIOS 芯片 换 到 新 替换 的 电路 板 上 ,硬盘 才能 正常 
识别 。 

2. 硬盘 开盘 修复 

便 盘 磁头 组 件 、 电 机 组 件 出 现 故 障 时 ,由 于 其 在 人 硬盘 的 内 部 ,只 能 选择 开盘 修复 的 办 法 
进行 解决 。 对 于 便 盘 的 磁头 组 件 和 主轴 电机 故障 都 是 无 法 进行 修理 的 ,解决 的 办 法 就 是 更 
换 一 人 套 无 故障 的 磁头 组 件 ,或 者 将 硬盘 盘 片 拆 换 到 备件 盘 中 ,然后 用 其 将 盘 请 上 的 数据 谈 取 
出 来 。 

更 换 磁 头 组 件 或 拆 伯 、 安 装 硬 盘 盘 片 都 需要 将 硬盘 盘 腔 打开 ,这 是 一 项 很 精细 的 工作 ， 
操作 时 需要 专业 的 环境 和 各 种 工具 ,以 更 换 硬 盘 磁 头 为 例 ,讲解 硬盘 开盘 修复 。 

1) 硬盘 开盘 所 需 的 环境 和 工具 

鲁 盘 在 工作 时 , 盘 腔 内 的 盘 片 在 主轴 电机 的 带动 下 高 速 旋 转 , 磁 头 上 甚 浮 在 盘 片 之 上 ,与 
盘 片 之 间 的 距离 只 有 和 零点 几 微 米 , 这 就 要 求 硬 盘 盘 腔 内 没有 灰尘 颗粒 ,避免 盘 片 被 划 伤 。 因 
此 ,在 便 盘 开盘 时 ,也 必须 在 一 个 保证 具有 足够 洁净 度 的 洁净 间或 洁净 台 内 操作 ，。 

对 于 封闭 空间 内 的 洁净 度 ,如 表 6. 61 所 示 , 以 单位 体积 所 含 的 侍 粒 数 作 为 评判 标准 , 定 
出 各 种 等 级 。 


表 6.61 无 尘 等 级 


每 立方 米 ( 每 升 ) 空 气 中 大 于 等 于 0. 5pm 的 | 每 立方 米 ( 每 升 ) 空 气 中 大 于 等 于 0. Shum 的 


等 级 
尘 粒 数 
100 级 过 35 X100(3,5) 0 
1000 级 三 35X1000(35) 250(0. 25) 
10000 级 三 35 X10000(350) 过 2500(2.5) 
100000 级 < 35X100000(3500) 之 25000(25) 


便 盘 开盘 操作 需要 在 洁净 度 达 到 100 级 的 环境 内 进行 。 在 
使 用 洁净 间 进 行 开盘 操作 前 ,要 提前 开启 洁净 间 的 循环 过 滤 设 
备 , 待 洁净 间 内 空气 洁净 度 达到 100 级 后 , 方 可 开始 进行 开盘 操 
作 。 如 图 6. 160 所 示 , 洁 净 间 通常 分 为 缓冲 区 、 风 淋 区 、 洁 净 操 
作 区 三 部 分 。 

工作 人 员 更 换 好 专用 的 连 体 洁净 服 , 戴 好 口音 .帽子 .手套 ， 
将 全 喘 包 庄 ,经 过 风 淋 室 风 麻 去 除 衣 服 上 的 灰 侍 颗粒 后 ,进入 少 
兆 操 作 区 ,防止 人 体 皮 悄 、 灰 人 尘 晰 粒 等 污染 洁净 间 内 的 环境 。 洁 
兆 则 内 的 洁 人 将 有 人 尘埃 的 空气 抽出 去 ,并 将 过 滤 交 置 图 6.160 洁净 间 示 意图 
过 滤 过 的 洁净 空气 吹 进 洁净 间 的 方式 ,使 洁净 间 内 保持 一 个 相 
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对 无 侍 的 环境 。 

有 了 开盘 的 环境 ,还 需要 准备 必要 的 工具 ,如 图 6. 161 所 示 , 硬 盘 开 盘 使 用 的 工具 一 般 
有 平 口 螺丝 刀 ,十字 螺丝 刀 、T 系列 (六 角 ) 螺 丝 刀 (包括 T8、T6、T5、T4 等 型 号 ) . 急 子 、 尖 嘴 
钳 \、 壁 纸 刀 、 皮 老虎 、 开 盘 机 、 盘 片 套 简 、 磁 铁 吸 附 峰 等 。 


钳 .壁纸 刀 、 皮 老 席 、 磁 铁 吸 附 器 、 开 盘 机 、 盘 片 套 简 


自卫 一 db 
Ea 用 


图 6.161 螺丝 刀 、 


2) 便 盘 开盘 更 换 磁头 组 件 

在 开盘 更 换 磁 头 组 件 的 数据 恢复 过 程 中 ,寻找 能 够 匹配 的 备件 盘 也 是 一 个 相对 重要 的 
环节 ,匹配 的 备件 盘 , 具 备 更 换 磁 头 技巧 和 丰富 经 验 的 开盘 人 员 是 确保 开盘 成 功 并 恢复 故 隐 盘 
数据 的 关键 。 下 面 以 西部 数据 3. 5 英寸 硬盘 为 例 ,讲解 硬盘 开盘 更 换 磁 头 组 件 的 具体 步骤 : 

(1) 根据 硬盘 型 号 、 属 系 、 代 号 、 产 地 、 出 厂 日 期 \ 组 件 配置 参数 (DCM) .标识 字母 等 信 
县 ,找到 与 故障 盘 磁 头 组 件 最 接近 的 备件 盘 。 如 图 6. 162 所 示 为 西部 数据 3. 5 英才 便 盘 标 
签 信息 ,其 中 DCM: DHNNHTJAGB 为 组 件 配置 参数 ,第 1 个 字母 代表 电机 、 第 2 个 字母 
代表 基 座 、 第 3 个 字母 代表 磁头 锁定 器 .第 4 个 字母 代表 音 圈 电机 下 部 的 磁铁 、 第 5 个 字母 
代表 盘 片 介质 磁 密 度 .第 6 个 字母 代表 磁头 组 件 、 第 7 个 字母 代表 前 置 放 大 大、 第 8 个 字母 
代表 音 圈 电 机 上 部 的 磁铁 第 9 个 字母 代表 磁头 分 离 闫 。 通 常情 况 下 ,更换 磁头 组 件 需 要 找 
DCM 第 5.6.7 位 一 致 的 硬盘， 


站 人 和 A 
图 6.162 西部 数据 3.5 英寸 硬盘 磁头 组 件 兼容 信息 
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(2) 找到 备件 盘 后 ,将 故障 盘 和 备件 盘 送 入 洁净 间 之 前 ,要 将 其 表面 进行 清洁 处 理 , 清 
除 便 盘 表面 .电路 板 以 及 缝 辽 内 的 侍 土 ,然后 将 其 通过 传递 窗 送 入 济 净 间 内 ,将 故障 盘 和 备 
件 盘 分 别 固定 在 开盘 机 的 两 个 便 盘 卡 位 内 , 拧 下 硬盘 盘 盖 上 的 螺丝 ,打开 人 硬盘 盘 盖 后 ,可 以 
看 到 人 硬盘 内 的 结构 布局 ,如 图 6. 163 所 示 。 


磁头 曾 限 位 器 ~ 晶 


音 圈 电 机 上 
方 的 永 磁 猴 


前 置信 号 处 理 避 


图 6.163 西部 数据 3. 5 英寸 硬盘 盘 腔 内 的 结构 布局 


(3) 拆除 前 置信 号 处 理 大 。 在 磁头 臂 侧面 的 磁头 芯片 劳 边 ,延伸 出 一 根 电 缆 ,电缆 末端 
与 一 块 小 电路 板 相连 ,这 就 是 该 便 盘 磁头 组 件 的 前 置信 号 处 理 硕 ,将 小 电路 板 上 的 两 个 螺丝 
近 掉 ,然后 用 龟 子 轻 轻 所 一 下 ,把 这 块 小 电路 板 移 到 旁边 就 可 以 了 。 

(4) 拆除 磁头 臂 限 位 硕 。 在 磁头 臂 尾 部 的 末 问 有 一 个 限 位 硕 , 用 来 限制 磁头 臂 的 移动 
范围 ,避免 磁头 移出 盘 片 。 直 接 拔 掉 磁 头 臂 尾部 末端 的 磁头 臂 限 位 需 即 可 。 

(5) 拆 出 磁头 组 件 。 音 圈 电 机 上 下 各 有 一 块 永 磁铁 , 先 用 磁铁 吸附 硕 吸 附 到 上 部 磁铁 
上 , 近 掉 磁铁 上 的 两 颗 固 定 螺 丝 , 然 后 青 用 尖 嘴 钳 夹 住 磁铁 的 后 端 ,小 心 用 力 将 其 拿 出 。 该 
磁铁 磁力 非常 蝇 , 在 拿 取 的 过 程 中 一 定 注 意 不 要 让 
磁铁 接触 盘 片 。 将 磁头 移出 盘 片 边 绿 后 ,要 用 小 塑 
料 块 保持 两 个 磁头 处 于 分 离 状态 , 切 勿 使 其 相互 接 
触 。 将 磁头 移出 盘 片 后 ,就 可 以 拆 熏 磁 头 组 件 了 , 示 
例 中 的 西部 数据 便 盘 磁头 臂 中 间 没 有 固定 螺丝 ,只 
需 用 儿 子 夹 住 磁头 臂 轻 轻 往 上 提 , 就 可 以 把 磁头 组 
件 拿 下 来 了 。 拆 出 的 磁头 组 件 如 图 6. 164 所 示 。 


图 6.164 拆 出 的 磁头 组 件 
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(6) 拆 出 备件 盘 的 磁头 组 件 。 重 复 步 又 (3) 一 (5) ,将 备件 盘 的 磁头 组 件 拆 下 。 

(7) 把 备件 盘 的 磁头 组 件 狐 入 故障 盘 中 。 按 照 磁 头 组 件 的 过 程 与 拆 种 磁头 组 件 的 过 程 
相反 ,用 角子 夹 住 备件 磁头 组 件 , 将 备件 磁头 组 磁头 臂 轴 的 圆 孔 与 盘 体 的 圆柱 对 齐 , 放 进 故 
障 盘 盘 朋 中 ,然后 轻 轻 将 磁头 推 人 盘 卢 边 绿 , 轻 轻 转动 主轴 电机 ,并 在 磁头 臂 末 端 轻 图 用 力 ， 
将 磁头 推 回 到 磁头 局 停 区 的 位 置 , 装 回 磁头 限 位 天 , 再 把 前 置信 号 处 理 需 的 小 电路 板 放 到 厚 
来 位 置 并 打 好 螺丝 ,最 后 就 可 以 关上 便 盘 盘 盖 ,打上 螺丝 。 这 样 就 完成 了 更 换 人 硬盘 磁头 组 件 
的 工作 。 

(8) 提取 人 硬盘 内 的 数据 。 将 硬盘 磁头 组 件 更 换 成 功 后 ,由 于 手工 拆 印 磁头 组 件 毕 竟 达 
不 到 工厂 内 的 安装 标准 ,会 导致 硬盘 上 或 多 或 少 都 会 产生 一 些 坏 忆 区 ,因此 更 换 过 磁头 组 件 
的 便 盘 最 好 不 要 下 接连 接 在 操作 系统 上 读 取 数据 ,而 要 用 PC-3000 等 专业 工具 连接 更 换 完 
磁头 组 件 的 硬盘 ,检测 硬盘 是 否 能 够 识别 ,如 果 能 够 正 稼 识别 再 采用 物理 镜像 或 者 直接 提取 
数据 的 方法 制作 镜像 或 提取 重要 数据 。 


2012 年 7 月 ,河北 省 衡水 市 公安 局 破获 的 一 起 重大 非法 经 营 案 中 , 犯 
徘 嫌疑 人 为 贤 灭 证 据 ,将 一 重要 电脑 的 人 硬盘 投入 池塘 中 。 经 过 对 该 硬盘 进 
行 开 盘 清洗 和 盘 片 移植 ,成 功 将 便 盘 盘 片 内 的 数据 进行 了 镜像 ,从 中 发 现 
大 量 涉案 账目 信息 。 


场景 应 用 


6.12.3 臣 片 级 物理 故障 修复 


心 片 级 存储 介质 物理 故障 主要 是 由 于 接口 故障 、 人 品 振 故 障 、 主 控 世 片 故障 、 闪 
存 忌 片 故障 等 原因 造成 的 。 下 面 就 以 U 盘 这 种 最 种 遇 到 的 芯片 级 存储 介质 的 物理 故障 修 
复 为 例 ,讲解 芯片 级 存储 介质 物理 故障 修复 的 方法 和 步骤 。 

对 于 UU 盘 的 第 见 的 几 种 故障 可 以 用 补 焊 替换 品 振 、 替 换 主 控 心 片 、 茶 换 存 储 心 厂 等 方 
法 修复 。U 盘 结 构 如 图 6. 165 所 示 。 


控制 心太 内 存心 片 
图 6.165 UU 盘 内 部 结构 
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1. 补 焊 

补 焊 主要 用 于 焊 脚 脱落 的 情况 ,U 盘 经 常会 因为 掉 落 到 地 上 而 导致 接口 的 焊 脚 脱 焊 或 
者 晶振 的 焊 点 脱离 ,处理 这 些 情况 时 可 以 拆 掉 U 盘 外 壳 , 用 电 烙 铁 进 行 补 焊 。 

2. 替换 品 拓 

品 振 人 摔 ,U 盘 抒 落 到 地 上 ,很 容易 造成 晶振 损坏 ,这 时 只 要 更 换 相 同 频 率 的 品 振 
即 可 。 

3. 替换 主 控 必 片 

主 控 必 片 损坏 的 处 理 方 法 是 更 换 一 个 好 的 与 原 主 控 忆 片 型 号 一 致 的 主 控 必 片 。 主 控 必 
片 的 型 号 一 般 都 标识 在 必 片 表面 。 

4. 蔡 换 办 存心 片 

有 时候 U 盘 电 路 板 上 的 元 器 件 损 坏 比 较 严 重 , 无 法 修复 ,为 了 恢复 数据 ,可 以 找 一 个 同 
型 号 的 备件 U 盘 , 把 故障 U 盘 上 的 闪存 沪 刻 用 热风 枪 拆 焊 下 来 ,将 其 安 疙 到 备件 U 盘 上 ， 
进而 恢复 U 盘 内 的 数据 。 

5. 直接 提取 办 存心 片 的 数据 

如 果实 在 无 法 找到 相应 的 元 右 件 或 者 主 控 想 片 、 备 件 U 盘 时 ,可 以 考虑 把 故障 U 盘 的 
闪存 忌 片 用 热风 枪 拆 焊 下 来 ,通过 PC-3000 Flash Flash 等 专业 工具 ,直接 提取 办 

芯片 内 的 数据 ,经 过 分 析 重 组 ,进而 恢复 U 盘 内 的 数据 。 -方法 也 适用 于 SD 卡 、SM 
卡 .MMC 卡 、 记 忆 棒 、SSD 固态 硬盘 等 采用 NAND 闪存 芯 rh ` 片 级 存储 介质 的 物理 


修复 。 
0 12. 4 小 、 ”器 
随 看 违法 犯罪 刀 疑 人 反 侦 查 意识 的 日 益 强 烈 , 电 子 数 据 存储 介质 受 损 情况 也 越 来 越 多 ， 


存储 介质 的 物理 修复 的 震 求 也 日 渐 踢 烈 , 通 过 最 为 可 菲 的 物理 修复 技术 ,修复 受 损 的 存储 介 
质 ,为 逻辑 数据 捉 取 恢复、 分 析 提 供 吕 有 力 的 技术 保障。 


6.13 数据 库 取证 - 


电子 数据 取证 技术 发 展 到 今天 ,已 经 具备 了 较为 成 熟 的 理论 和 完善 的 知识 体系 。 但 是 
由 于 计算 机 的 应 用 范围 非常 广泛 ,专业 领域 的 电子 数据 取证 技术 还 在 不 断 研究 中 ,例如 数据 
库 、 图 形 图 像 的 取证 技术 。 数 据 库 取 证 技术 作为 电子 数据 取证 的 分 支 , 主要 针对 数据 库 发 
现 、 固 定 和 分 析 涉 案 数据 。 由 于 数据 库 的 类 型 多 样 和 技术 封闭 ,数据 库 取 证 技术 的 相关 经 验 
和 工具 一 直 很 缺乏 ,处 于 比较 低层 次 的 发 展 阶段 。 随 着 大 数据 时 代 的 到 来 ,社会 生活 的 数据 
纷纷 都 采取 数据 库 形式 来 存储 ,其 中 保存 了 众多 敏感 数据 。 数 据 库 已 经 成 为 电子 数据 的 重 


”刘晓宇 , 李 锦 , 刘 洪 阳 生 , 电子 数据 检验 技术 写 应 用 . 北京 : 公安 大 等 出 版 社 ,2015. 
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要 载体 ,数据库 取证 成 为 电 于 数据 取证 发 展 的 一 个 新 的 方向 。 本 节 以 MS SQL Server 这 种 
运用 广泛 的 数据 库 为 例 ,重点 讲解 数据 库 的 运行 机 制 , 学 习 擎 握 数 据 库 的 管理 和 重 构 方法 ， 
并 能 够 根据 实际 情况 提取 其 中 的 重要 数据 。 


6.13.1 数据 库 的 概念 


数据 库 (DataBase) 是 按照 一 定数 据 结 构 来 组 织 、 存 储 和 管理 数据 的 仓库 。 数 据 库 中 的 
数据 按 一 定 的 数据 模型 进行 组 织 、 描 述 和 存储 。 
6.13.2 主流 数据 库 介绍 

1l. Access 

Access 是 由 微软 发 布 的 关系 型 数据 库 , 它 包含 在 Microsoft Office 套件 中 。Access 人 简 
单 多 用 ,在 管理 个 人 数据 时 得 心 应 手 。 缺 点 是 无 法 处 理 大 量 的 数据 ,安全 性 也 很 低 。 

2. MS SQL Server 

Microsoft SQL Server 是 微软 面 对 企 业 级 应 用 开发 的 关系 型 数据 库 。 它 的 数据 管理 效 
率 高 ,能够 文 持 所 有 Windows 系统 ,是 目前 中 小 型 网 站 主要 使 用 的 数据 库 。SQL Server 主 
要 的 版 本 有 MS SQL Server 2000、2005、2008、2012 和 2014。 

3. MySQL 

Oracle 的 MySQL 是 开源 的 关系 型 数据 库 , 小 巧 但 性 能 强大 。 它 撞 配 PHP 和 Apache 
可 组 成 良好 的 开发 环境 。MySQL 也 是 中 小 型 网 站 主要 使 用 的 数据 库 。 

4. Oracle 

Oracle 又 名 Oracle RDBMS。 是 甲骨 文 (Oracle) 公 司 的 一 球 关 系 型 数据 库 管理 系统 。 
Oracle 采用 的 是 并 行 服务 冀 模 式 , 是 大 型 网 站 的 数据 库 衣 选 。 在 效率 ,安全 性 和 大 数据 文 
持 方面 具备 优势 。 

S$. SQLite 

SQLite 是 轻 量 的 关系 型 数据 库 。SQLite 可 以 在 一 个 文件 中 存储 数据 信息 ,可 以 做 到 
路 平台 使 用 ,是 目前 移动 设备 使 用 较 多 的 数据 库 。 

6. PostereSQL 

PostgreSQL 是 世界 上 可 以 获得 的 功能 最 全 面 的 开放 源码 的 关系 型 数据 库 , 它 提供 了 了 多 
版 本 并 发 控制 , 文 持 多 种 开发 语言 (包括 C、Ct++、Java、perl,\tcl 和 python) 。 


6.13.3 结构 化 查询 语句 


SQL 请 言 (Structured Query Language; 续 构 化 查询 语言 ) 是 一 个 综合 的 .通用 的 关系 
数据 库 请 言 ,其 功能 包括 查询 、 操 纵 、 定 义 和 控 制 。SQL 语言 是 目前 应 用 最 为 广泛 的 数据 库 
查询 语言 之 一 。 结 构 化 查询 语句 的 基本 语法 如 下 . 
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(1) 数据 查询 声言 (DQL ,Data Query Language) 

也 称 为 “数据 检索 语句 ”, 用 以 从 表 中 获得 数据 。 保 留 字 包 括 SELECT、WHERE、 
ORDER BY .GROUP BY 和 HAVING。 这 些 DQL 保留 字 常 与 其 他 类 型 的 SQL 语句 一 起 
使 用 。SELECT 是 DQL( 也 是 所 有 SQL) 用 得 最 多 的 保留 字 。 

(2) 数据 定义 语言 (DDL) 

其 语句 包括 动词 CREATE 和 DROP。 在 数据 库 中 创建 新 表 或 删除 表 (CREAT 
TABLE 或 DROP TABLE) ,为 表 加 和 索引 等 。 

(3) 数据 操作 语言 (DML: Data Manipulation Language) 

保留 字 包 括 INSERT、UPDATE 和 DELETE。 它们 分 别 用 于 添加 、 修 改 和 删除 表 中 的 
行 。 也 称 为 动作 查询 请 言 。 

这 三 类 语言 是 SQL 语言 使 用 最 多 的 语言 应 用 。 除 此 之 外 ,SQL 语言 还 有 事务 处 理 语 
言 (TPL) .数据 控制 语言 (DCL) 、 指 针 控 制 语 言 (CCL)。 


6.13.4 数据 库存 和 储 结构 


数据 库存 储 结构 又 分 为 逻辑 存储 结构 和 物理 存储 结构 。 数 据 的 逻辑 结构 基于 数据 库 本 
号, 是 从 逻辑 的 角度 ( 即 数 据 间 的 联系 和 组 织 方式 ) 来 观察 数据 ,分 析 数 据 ,与 数据 的 存储 位 
置 无 关 。 数 据 的 物理 结构 是 指数 据 在 计算 机 中 存放 的 结构 , 即 数据 的 逻辑 结构 在 计算 机 中 
的 实现 形式 ,所 以 物理 结构 也 被 称 为 存储 结构 。 

1. 逻辑 存储 结构 

所 谓 逻 辑 存储 结构 是 指数 据 的 组 织 形式 或 数据 之 间 的 联系 。 如 果 用 D 表示 数据 ,用 R 
表示 数据 对 象 之 间 存 在 的 关系 集合 , 则 将 DS=(D,R) 称 为 数据 结构 。 例 如 , 设 有 一 个 电话 
号 码 短 , 它 记 录 了 n 个 人 的 名 字 和 相应 的 电话 号 码 。 为 了 方便 地 查找 某 人 的 电话 号 码 , 将 人 
名 和 号 码 按 字 典 顺 序 排 列 ,并 在 名 字 的 后 面 跟 随 着 对 应 的 电话 号 码 。 这 样 , 若 要 查找 某 人 的 
电话 号 码 ( 假 定 他 的 名 字 的 第 一 个 字母 是 Y), 那 么 只 需 查找 以 Y 开头 的 那些 名 字 就 可 以 
了 。 该 例 中 ,数据 的 集合 D 就 是 人 名 和 电话 号 码 , 它 们 之 间 的 联系 R 就 是 按 字 典 顺 序 的 排 
列 , 其 相应 的 数据 结构 就 是 DS 二 (D,R), 即 一 个 数组 ，。 

2. 物理 存储 结构 

物理 存储 结构 是 基于 操作 系统 的 数据 文件 ,包括 数据 文件 和 日 志文 件 , 以 及 这 些 文件 的 
存储 位 置 和 变化 。 数 据 文件 是 每 个 数据 库 保存 数据 的 基础 ,用 来 存储 具体 的 数据 ,一 般 采 取 
特定 格式 或 者 压缩 技术 进行 存储 。 某 些 数据 库 只 有 一 个 数据 文件 ,例如 Access; 企业 级 数 
据 库 可 以 采用 多 个 数据 文件 。 数 据 对 象 ,例如 表 .索引 等 ,被 存储 这 些 数据 文件 中 。 

(1) MS SQL Server 数据 库 的 数据 文件 在 物理 存储 结构 上 分 为 主 数据 文件 和 次 要 数据 
文件 。MS SQL Server 数据 库 至 少 有 一 个 主要 数据 文件 ,可 以 有 多 个 次 要 数据 文件 以 存放 
不 适合 在 主要 数据 文件 中 放置 的 数据 。 主 数据 文件 的 扩展 名 为 ". mdf”, 次 要 数据 文件 的 扩 
展 名 为 .ndf”。 
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(2) Oracle 数据 库 物 理 存 储 结构 是 主要 由 三 种 类 型 的 文件 组 成 : 数据 文件 .日 志文 件 
和 控制 文件 ,另外 还 包括 一 些 参数 文件 。 其 中 : 数据 文件 的 扩展 名 为 “. DBF”; 日 志文 件 的 
ee LOG”; 控制 文件 的 扩展 名 为 “. CTL”。 除 此 之 外 ,还 有 一 些 辅 助 文件 ,包括 归档 

志文 件 . 初 始 化 参数 文件 .口令 文件 .警告 文件 、 服 务 器 进程 跟踪 文件 .后 人 台 进 程 跟踪 

3. 数据 文件 结构 

不 同 的 数据 库 的 数据 文件 结构 不 同 ,这 些 文 件 结构 很 少 为 外 人 所 知 。 以 MS SQL 
Server 数据 库 为 例 , 讲 解数 据 文件 的 基本 结构 。 

(1) 区 (CExtents): 管理 硬盘 空间 的 基本 单位 。 一 个 区 由 8 个 物理 上 连续 的 页 ( 即 64 
KB) 组 成 。 这 意味 着 SQL Server 数据 库 中 每 MB 有 16 个 区 。 

为 了 使 空间 分 配 更 有 效 ,SQL Server 不 会 将 所 有 区 分 配给 包含 少量 数据 的 表 。SQL 
Server 有 两 种 类 型 的 区 如 图 6. 166 所 示 。 


混合 区 


table2 indexl index2 table2 table3 index3 table2 table3 


tablel tablel tablel tablel tablel tablel tablel tablel 


图 6.166 MS SQL Server 两 种 区 类 型 


混合 区 ,最 多 可 由 八 个 对 象 共 享 。 区 中 八 页 的 每 页 可 由 不 同 的 对 象 所 有 。 

统一 区 ,由 单个 对 象 折 有 。 区 中 的 所 有 8 页 只 能 由 所 属 对 象 使 用 。 

通常 从 混合 区 癌 新 表 或 案 引 分 配 页 。 当 表 或 案 引 增长 到 8 页 时 ,将 变 成 使 用 统一 区 进 
行 后 续 分 配 。 如 果 对 现 有 表 创 建 索 引 , 并 且 该 表 包 含 的 行 足 以 在 索引 中 生成 8 页 , 则 对 该 
索引 的 所 有 分 配 都 使 用 统一 区 进行 。 

(2) 页 (Page): MS SQL Server 数据 文件 最 基本 的 存储 单位 为 页 (page) 在 MS SQL 
Server( 见 图 6.167) 中 ,页 的 大 小 为 8KB。 这 意味 着 MS SQL Server 数据 库 中 每 MB 有 
128 页 。 每 页 的 开头 是 96 字 刷 的 标 头 ,用 于 存储 有 关 页 的 系统 信息 。 此 信息 包括 页 码 、 页 
类 型 ,页 的 可 用 空间 以 及 拥有 该 页 的 对 象 的 分 配 单 元 ID。 数据 文件 中 的 页 按 顺序 编号 
件 的 首页 以 0 开始。 数据 库 中 的 每 个 文件 部 有 一 个 唯一 的 文件 ID 号 。 夺 要 唯一 标识 数据 
库 中 的 页 ,需要 同时 使 用 文件 ID 和 页 码 。 

在 数据 页 上 (图 6. 168) ,数据 行 紧 接着 标 头 按 顺 序 放置 。 页 的 末尾 是 行 偏 移 表 , 对 于 页 
中 的 每 一 行 , 每 个 行 偏 移 表 都 包含 一 个 条 目 。 每 个 条 目 记录 对 应 行 的 第 一 个 字 节 与 页 首 的 
距离 。 行 偏 移 表 中 的 条 目的 顺序 与 页 中 行 的 顺序 相反 。 
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Microsoft SQL 
Server 数 握 页 


主 数据 文件 : 文件 ID 01 


图 6.167 MS SQL Server 页 图 6.168 MS SQL Server 页 结构 
(3) 数据 行 (data row) 的 基本 结构 如 网 6. 169 和 表 6. 62 所 示 。 
十 攻 列 数 也 |4 ”5 6 ”7 | 变 长 列 数 注 | 


图 6.169 数据 行 物理 结构 


表 6.62 数据 行 物 理 结构 说 明 


信 | 长 度 (byte) 和 计算 公式 
1 

4 

5 | 大生 可 要 

’ 变 长 列 的 偏 移 矩阵 2 * Varcount 


| VarOffset| VarCount | 一 (Fsize 十 8 
9 址 可 人权 长 度 姓 : VarDat: 
可 变 长 数据 | 可 变 长 度数 据 一 4 十 Ceil(Ncol/8) 十 2 * VarCount) 


数据 行 按照 各 列 的 创建 顺序 ,首选 存储 固定 长 度 列 的 数据 ,然后 是 可 变 长 度 列 的 

其 中 状态 A 存储 了 数据 行 属 性 信息 (从 左 至 右 Bit76543210) 为 如 下 说 明 : 

Q@ bit0; 版 本 信息 ,在 SQL Server 2005/08 总 是 为 0; 

@ bitl: 3 位 值 : 0==( 主 记录 primary record); 1 一 ( 转 移 记 录 forwarded record); 2 一 
(转移 桩 forwarding stud); 3 三 (索引 记录 index record); 4 二 ( 洪 出 数据 ); 5 一 (ghost 索引 | 
记录 ); 6 一 (ghost 数据 记录 ); 
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@ bit4: 表示 存在 NULL 位 图 (在 数据 行 里 SQL2005/08 总 存在 NULL 位 图 ) , 恒 为 1; 

bit5 : 表示 存在 可 变 长 列 ; 

bit6 : 未 启用 ; 

bit7: 表示 存在 ghost 记录 。 

(4) 事务 日 志文 件 结构 2 

数据 库 的 事务 日 志文 件 是 操作 数据 库 的 记录 集合 ,包括 系统 存储 过 程 或 数据 定义 语言 
对 系统 表 所 做 的 更 改 、 对 表 或 者 索引 的 插入 、 更 新 、 删 除 操 作 等 内 容 。 但 不 包括 对 表 的 查询 
操作 。MS SQL Server、Oracle 之 类 的 企业 级 数据 库 系 统 中 均 包 含 数 据 文件 和 事务 日 志文 
件 。MS SQL Server 事务 日 志文 件 的 推荐 扩展 名 为 “. 1df ”, Oracle 事务 日 志文 件 的 推荐 扩 
展 名 是 “. log”。 

Access、Foxpro 这 类 的 果 面 数据 库 并 没有 事务 日 志 这 样 的 概念 ,这 些 数据 库 中 仅仅 包 
括 数据 。 因 此 在 取证 时 ,无 法 根据 日 志文 件 判 断 对 数据 的 操作 行为 。 

以 MS SQL Server 为 例 , MS SQL Server 可 以 有 多 个 事务 日 志文 件 , 但 是 在 逻辑 上 ， 
SQL Server 把 事务 日 志文 件 划 分 为 多 个 VLEF(CVirtual Log File) , 即 虚 拟 日 志文 件 。 每 个 事 
务 日 志 可 以 包含 4 一 16 个 VLF。SQL Server 根据 事务 日 志文 件 的 大 小 决定 虚拟 日 志文 件 
的 数量 和 大 小 ,如 图 6. 170 所 示 。 


诬 拟 日 忘 ] 虚拟 日 志 2 ”虚拟 日 总 3 虚拟 日 志 4 虚拟 日 志 35 


羽 截 断 
MinLSN 
党 辑 日 志 最 后 一 个 ”逻辑 日 志 
的 开头 检查 点 ”的 结尾 


图 6.170 MS SQL Server 事物 日 志 有 逻辑 结构 


事务 日 志 是 一 种 回 绕 的 文件 , 当 针 对 数据 库 对 象 所 做 的 任何 修改 保存 到 数据 库 之 前 , 相 
应 的 日 志 首 先 被 记录 到 日 志文 件 , 这 个 记录 会 被 按照 先后 顺序 记录 到 日 志文 件 的 逻辑 末尾 ， 
并 分 配 一 个 全 局 唯一 的 日 志 序列 号 (Log Sequence Number,LSN),LSN 是 按照 顺序 排列 ， 
如 果 LSN2 二 LNS1 ,说 明 LSN2 LSN1 之 后 发 生 的 。 假 设 有 一 个 数据 库 , 它 的 物理 事务 

日 志 包 含 一 个 分 成 四 个 虚拟 日 志 。 当 创建 数据 库 时 ,人 逻辑 日 志文 件 从 物理 日 志文 件 的 始 端 

开始 。 新 日 志 记 录 被 添加 到 逻辑 日 志 的 末端 ,然后 回 物 理 日 志 的 末端 扩张 。 右 进行 截断 操 
作 ,虚拟 日 志 中 最 小 恢复 日 志 序 列 号 (MinLSN) 之 前 的 日 志 记 录 会 被 删除 。 

当 逻 辑 日 志 的 末端 到 达 物 理 日 志文 件 的 末端 时 ,新 的 日 六 记 录 将 回 统 到 物理 日 志文 件 


@ MSDN 事务 日 志 物 理 体 系 结构 http://msdn. microsoft. comy/zh-cn/library/ms179355(v 一 sql. 90). aspx 
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的 始 端 , 如 图 6. 171 所 示 。 


| 虚拟 日 志 1 ”虚拟 日 志 2 ”虚拟 日 志 3 ”虚拟 日 志 4 | 
\ | 
人 -_-—_-_ 


被 截断 
MinLSN 最 后 一 个 检查 点 
逻辑 日 志 逻辑 日 志 倒数 第 二 个 
的 结尾 的 开头 检查 点 


6. 171 MS SQL Server 事物 日 志 记 录 方 式 


(5) 时 间 格 式 

数据 库 使 用 不 同 的 方式 记录 时 间 。 在 MS SQL Server 2005 之 前 的 数据 库 内 部 用 两 个 
4 字 节 的 整数 存储 DateTime 数据 类 型 的 值 。 第 一 个 整数 表示 日 期 ,而 第 二 个 整数 表示 
时 间 。 

DateTime 是 从 基准 日 期 1900 年 1 月 1 日 开始 的 计算 日 期 的 整数 的 。 第 一 个 整数 表示 
该 日 期 之 前 或 之 后 的 天 数 。 因 此 ,DateTime 数据 类 型 仅仅 支持 由 4 位 范围 整数 表示 的 日 
期 。 这 就 意味 看 DateTime 字段 的 一 个 日 期 必须 处 于 1735 年 1 月 1 日 到 9999 年 12 月 31 
日 之 间 。 第 二 个 整数 存储 了 1900 年 1 月 1 日 00:00:00 后 的 1/300 秒 单 位 的 数字 。 这 就 意 
味 着 时 间 是 以 毫秒 为 单位 存储 的 ,精确 到 3. 33 毫秒 。 

MS SQL Server 还 使 用 SmallDateTime 来 存储 时 间 。SmallDateTime 数据 类 型 类 似 于 
DATETIME ,只 是 它 的 值 长 度 有 限 , 因 此 精度 低 于 DateTime。SmallDateTime 值 是 用 两 个 
2 字 节 存储 的 。 第 一 个 整数 表示 日 期 ,而 第 二 个 整数 表示 时 间 。 

与 DateTime 数据 类 型 一 样 ,SmallDateTime 数据 也 是 相对 于 基准 日 期 1900 年 1 月 1 
日 计算 的 整数 。 但 是 ,整数 仅仅 表示 在 基准 日 期 之 后 的 天 数 , 而 不 包括 之 前 的 日 期 。 这 就 意 
味 着 SmallDateTime 字段 中 的 日 期 必须 处 于 1900 年 1 月 1 日 到 2079 年 6 月 6 日 之 间 。 
SmallDateTime 值 中 的 第 二 个 整数 存储 1900 年 1 月 1 日 00:00:00 之 后 的 分 钟 数 。 时 间 并 
不 包括 秒 数 。 

可 以 通过 以 下 语句 来 转换 时 间 ( 例 如 datetime 的 值 为 39143 ) 。 

DECLARE @today datetime 

SELECT 和 today = 39143 

SELECT @today 

解析 的 时 间 为 “2007-03-04 00:00:00. 000”。SQL Server 2008 增加 了 新 的 datetime 数 
据 类 型 。 它 们 包括 Date .Timne DateTime2 以 及 DateTimeOffset 类 型 。 
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6.13.5 数据 库 取证 


1. 数据 库 取证 的 特点 

数据 库 取 证 是 一 个 全 面 复 杂 的 过 程 。 数 据 库 有 以 下 特点 ,对 取证 工作 提出 了 更 高 的 
要 求 ， 

(1) 数据 库 不 像 文 件 系 统 和 操作 系统 那样 ,类 型 相对 较 少 。 数 据 库 种 类 众多 ,架构 各 不 
相同 。 从 有 果 面 用 户 使 用 的 Access 到 专业 化 的 MS SQL Server、MySQL 力 至 处 理 能 力 更 强 
的 Oracle、NoSQL 类 数据 库 , 这 些 数据 库 在 取证 工作 中 都 会 接触 到 ,因此 需要 了 解 这 些 数据 
库 的 基本 操作 和 系统 架构 。 

(2) 不 同 数据 库 之 间 有 看 较 大 的 差异 ,大 部 分 的 取证 工具 并 不 文 持 企业 级 数据 库 。 巨 
大 的 数据 量 会 导致 取证 工具 停止 工作 或 者 运行 效率 低下 。 而 专业 的 数据 库 工 具 却 不 具备 
取证 工具 的 数据 保护 和 审计 功能 ,使 用 这 些 工 具 可 能 在 使 用 中 无 意识 的 算 改 数据 库 中 的 
数据 。 

2. 数据 库 取证 的 层次 

如 何在 大 量 的 数据 中 快速 ` 有效 的 提取 出 与 案件 相关 的 电子 数据 。 这 需要 具备 专业 技 
能 的 取证 人 员 配 合 数据 库 管 理工 具 和 数据 挖掘 工具 一 起 进行 ,未 来 会 有 专业 的 数据 库 取证 
工具 来 辅助 取证 工作 。 数 据 库 取证 按照 先 易 后 难 的 标准 ,可 以 分 为 以 下 四 个 层次 : 

层次 一 : 针对 运行 中 的 服务 需 , 获 取 数 据 库 数据 文件 ,服务 入 和 系统 的 日 六 ,trace 记录 

: 能 够 熟练 地 导入 导出 数据 , 重 构 数据 库 运 行 环境 。 例 如 某 些 财务 软件 ,通过 
RAR WE 

层次 三 : 使 用 结构 化 查询 语句 对 数据 库 中 的 数据 进行 挖掘 。 如 果 数 据 量 很 大 ,就 雷 
熟练 掌握 数据 挖掘 技术 ,例如 分 析 一 个 城市 某 个 时 间 的 全 部 话 单 ,利用 数据 库 查询 比 使 用 图 
形 化 的 关联 分 析 工 具 效 率 要 高 得 多 。 

层次 四 : 恢复 数据 库 的 删除 数据 或 者 日 志 , 对 其 进行 分 析 , 这 在 黑客 人 侵 案 件 中 尤为 有 
用 。 数 据 库 作 为 高 价值 目标 ,已 经 成 为 黑客 攻击 目标 的 痛 选 ,黑客 人 侵 复 制 走 数 据 ( 俗 称 “ 脱 
库 ”) 后 ,往往 会 通过 删除 效 据 库 日 志 来 清除 入 侵 痕 迹 。 

3. 企业 级 数据 库 的 取证 目标 

在 普通 用 户 眼 中 ,大 部 分 的 数据 库 都 是 类 似 的 ,不 管 是 果 面 级 数据 库 还 是 企业 级 数据 
库 ,都 是 有 .个 表 或 者 多 个 表 构 成 的 ,具备 查询 功能 的 数据 组 合 。 但 是 在 取证 人 员 眼 中 , 数 
据 库 取 证 不 仅 关 心 数据 库 中 保存 的 数据 ,更 关注 数据 库 的 审计 信息 .日 志 信 息 等 动态 信息 ， 
需要 通过 完整 的 证 据 链 来 证 明 发 生 了 什么 。 在 这 一 点 上 ,企业 级 数据 库 一 般 具备 着 完善 的 
账户 审计 和 日 志 功 能 。 在 遭 到 人 侵 之 后 ,可 以 提供 更 多 的 信息 以 追溯 人 侵 者 的 痕迹 。 但 是 
往往 这 些 数据 处 于 动态 之 中 ,取证 人 员 在 数据 库 的 操作 上 又 不 具备 丰富 的 经 验 。 因 此 取证 
人 员 在 进行 取证 之 前 ,应 当前 先 确认 电子 数据 获取 目标 。 获 取 目 标 不 仅 限 于 数据 库 本 号 , 作 
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为 载体 的 操作 系统 往往 也 能 提供 重要 信息 ,如 表 6. 63 所 示 。 
表 6.63 数据 库 取证 目标 


获取 目标 说 明 
数据 库 基本 信息 包括 数据 库 的 类 型 .版 本、 存储 位 置 等 
易 丢 失 数 据 包括 操作 系统 ,数据库 .内 存 和 文件 缓存 中 的 信息 
事物 跟踪 记录 数据 库 审 计 机 制 下 跟踪 信息 的 所 有 记录 
数据 库 日 志文 件 记录 数据 库 的 操作 信息 ,可 以 实现 数据 的 恢复 或 者 事务 的 回 深 
数据 库 错 误 日 志 记录 数据 库 的 错误 信息 ,例如 数据 库 重启 .恢复 、 错 误 记 录 
操作 系统 日 志 操作 系统 本 身 的 审计 日 志 , 例 如 安全 日 志 、 应 用 程序 日 志 等 
数据 库 控 制 信息 (Oracle) | 包含 维护 和 取证 数据 库 一 致 性 的 信息 
数据 库 数 据 文件 记录 所 有 数据 ,例如 表 、 索 引 
数据 库 临时 表 记录 临时 数据 临时 存储 过 程 和 操作 
防火 墙 或 人 侵 检 测 系 统 | 架设 在 数据 库 服务 器 前 的 防火 墙 或 人 侵 检 测 系 统 (IDS) 是 保护 数据 库 的 第 
日 志 一 道 屏障 ,如 果 有 人 侵 行 为 发 生 ,防火 墙 或 IDS 日 志 会 保存 有 相关 记录 


4. 数据 库 取 证 的 准备 工作 

(1) 工具 准备 

数据 库 取 证 在 遵守 取证 规范 和 流程 同时 ,也 应 当 针 对 目 身 数据 动态 性 和 操作 复杂 性 的 
特点 ,有 针对 性 地 准备 相应 的 工具 。 目 前 ,并 没有 专用 的 数据 库 取证 工具 。 因 此 ,目前 的 数 
据 库 取证 仍然 依 徘 个 人 分 析 与 工具 的 结合 使 用 。 除 了 取证 工具 ,数据 库 本 有 身 的 命令 和 第 
三 方 管理 工具 ,一 样 能 达到 获取 固定 证 据 的 目的 。 数 据 库 取 证 一 般 需 要 准备 以 下 设备 或 
工具 ， 

d 镜像 设备 或 工具 ，; 

( HASH 值 计算 工具 ; 

@ 取证 工具 ,例如 oi TK, 用 于 提取 分 析 操 作 系 统 的 数据 ; 

(4) 数据 库 管 理 和 维护 工具 。 例 如 SQLDiag、PSSDIAG/SQLDiag Manager、SqlNexus 等 ; 

© . . 台 运 行 相同 数据 库 版 本 的 计算 机 设备 ， 用 于 重 构 数据 库 环境 ,恢复 数据 库 。 利 用 
SQL Server Management Studio 工具 或 者 ApexSQL Log 工具 分 析 数 据 库 数 据 。 也 可 以 利 
用 Fn-dblog、DBCC 等 功能 分 析 配 置信 息 。 

(2) 取证 条 略 

果 面 级 数据 库 一 般 采 取 关 机 复制 镜像 ,然后 对 镜像 进行 分 析 策 略 。 这 种 方式 可 以 确保 
果 面 级 数据 库 的 元 数据 不 会 被 自 改 。 

企业 级 数据 库 一 般 安 疤 在 服务 剖 上 ,基本 上 要 求 24X7 的 运行 ,无 法 通过 关机 复制 便 盘 
的 案 略 来 进行 分 析 , 同 时 入 侵 锚 迹 很 有 可 能 在 内 存 中 保留 ,因此 关机 进行 检查 是 不 明知 的。 
如 条 入 侵 活 动 正 在 米 取 毁灭 证 据 等 不 可 逆 的 操作 , 当 迅 速 地 切断 网 络 连接 ,使 服务 天 处 于 离 
线 状 态 ,同时 停止 服务 融 上 的 人 侵 者 运行 的 破坏 性 的 程序 进程 。 
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需要 注意 的 是 ,取证 人 员 不 能 重新 局 动 数据 库 , 人 避免 数据 库 为 了 实现 日 志和 数据 的 一 致 
性 ,上 月 动 按 照 活 动 事务 日 志 回 滚 ,会 导致 操作 记录 丢失 。 


6.13.6 数据 库 的 在 线 取 证 


- 般 来 说 ,只 有 企业 级 数据 库 始 终 处 于 在 线 状 态 。 企 业 级 数据 库 的 专业 化 程度 较 高 , 操 

作 复 林 。 一 般 的 取证 人 员 并 不 熟悉 数据 库 的 操作 ,因此 企业 级 数据 库 的 取证 ,一 耳 是 空 日 。 
在 企业 级 数据 库 的 取证 中 ,建议 采用 以 下 步骤 进行 流程 (以 MS SQL Server 2008 R2 为 例 ): 

1. 确定 取证 目标 的 状态 

(1) 确定 数据 库 的 状态 。 包 括 系 统 是 否 还 能 够 正常 运行 .能 否 使 用 原先 的 口令 登录 、 数 
据 库 运行 正常 等 .是 否 修 改 了 配置 。 

确定 服务 带 关 型 

MS SQL Server 是 Winsock 应 用 程序 , 它 使 用 Winsock 库 通 过 TCP/IP 进行 通信 ，。 
MS SQL Server 一 旦 司 动 就 在 特定 端口 上 监听 链接 请 求 。MS SQL Server 的 默认 端口 是 
1433( 可 修改 )。 因 此 可 以 通过 远程 扫 摘 开局 1433 端口 来 确定 是 否 安 儿 有 SQL Server。 
Oracle 的 默认 问 口 为 1521。 

确定 配置 是 否 正常 

MS SQL Server 和信 侵 的 典型 特点 是 往往 需要 开启 xp_cmdshell。 在 MS SQL Server 
2005 之 后 “xp_cmdshell” 默 认 是 关闭 jy Windows 系统 允许 使 用 “xp_cmdshell” 命 令 运 行 
SQL 查询 语句 。“xp_cmdshell” 被 开启 后 ,入 侵 者 可 以 利用 此 命令 运行 SQL 语句 。“ 查 看 
xp_cmdshell 是 否 被 开局 是 判断 数据 库 是 否 被 入 侵 的 一 个 重要 标志 。xp_cmdshell "是 否 被 
开启 可 以 用 以 下 命令 查看 如 图 6. 172 所 示 。 


Select * from sys.configurations 


configuration id name value minimum maimum value in use description 
64 16387 SMOandDMOXPs 1 0 1 1 Enable or disable SMO and DMO X.. 
65 。 16388 Ole Automation Po 0 0 1 0 ”Enable or disable Ole Automation P 
66 16390 xp_cmdshell 0 0 1 Enable or disable command shel 
67 ”16391 AdHocDistibuted.. 0 中 0 1 0 Enable or disable Ad Hoc Distrbute 
68 16392 Replication XPs 0 0 1 0 Enable or disable Replication XPs 


6. 172 查询 xp_cmdshell 配置 项 


如 果 value_in_use 值 为 "1”, 代 表 xp_cmdshell 被 开启 。 

(2) 确定 系统 账户 和 数据 库 账 户 的 状态 。 包 括 是 否 有 新 的 账户 被 加 入 , 现 有 账户 是 否 
锌 提高 权限 。 注 意 要 配合 跟踪 系统 日 志和 数据 库 日 志 来 确定 账户 被 加 入 或 痢 提 权 的 时 间 。 
通过 以 下 语句 查看 数据 库 账户 的 建立 和 修改 情况 ( 见 图 6. 173) 。 


Select *¥* from sys.database_ principals where type = 'S'or type = 'U'order by create_date, modify_ 
date 
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按照 账户 建立 日 期 和 修改 日 期 列 出 系统 中 属性 为 SQL 用 户 ('S') 和 Windows 用 户 
('U'), 在 MS SQL Server 2005 之 前 ,只 存储 日 期 ,没有 时 间 , 在 MS SQL Server 2008 之 


后 ,存储 日 期 时 间 ,上 月 动 格式 化 为 北京 标准 时 间 。 


name principal jd type type desc defaukt schema name create_date modify_date 
1 dbo 1 5 SQL USER dbo 2003.04.08 09:10:19.600 。 2003-04-08 09-10:19.600 
2 guest 2 Ss SQL USER guest 2003.04.08 09:10:19.647 。 2003-04-08 09-10:19.647 
3 INFORMATION_SCHEMA 3 SS SaL USER NULL 2008-07-09 16:19-59.477 。 2008-07-09 16:19.59 477 
4 sys 4 5 SaL USER NULL 2008-07-09 16:19-59.477 。 2008-07-09 16:19.59 477 
5 |MACBOOKPROOAAE\MACBOOK ;8 U WINDOW.. MACBOOKPROOA4... 20140328 16:08:27.153 2014-03-28 16:08:27.153 
6  #HMS PolicyEventProcessingLogn#H# 5 5 SQaL USER dbo 2014-03-30 14:54:14.410 2014-03-30 14:54:14.410 


图 6.173 ”查询 数据 库 账户 


(3) 确定 关键 数据 库 和 表 。 关 键 数 据 库 指 的 是 用 于 存储 服务 信息 的 用 户 数 据 库 , 而 
不 是 系统 数据 库 。 关 键 的 表 是 数据 库 中 存储 重要 信息 的 表 , 可 能 会 包含 配置 信息 、 用 户 
账户 和 重要 数据 。 通 过 查看 关键 数据 库 或 者 表 , 可 以 确定 数据 库 的 数据 是 否 补 删除 或 者 
算 改 ， 

从 直观 的 角度 出 发 ,我 们 可 以 观察 到 MS SQL Server 由 若干 数据 库 构 成 ,如 表 6. 64 
所 示 。 


数据 库 类 别 | 数据 库 名 称 


表 6.64 MS SQL Server 数据 库 结构 
数据 库 描述 

master 数据 库 记 录 SQL Server 系统 的 所 有 系统 级 信息 。 主 要 包括 实例 范 
围 的 元 数据 、 端 点 、 链 接 服务 器 和 系统 配置 设置 以 及 记录 了 所 有 其 他 数据 
库 的 存在 .数据 库 文件 的 位 置 以 及 SQL Server 的 初始 化 信息 
提供 了 SQL Server 实例 上 创建 的 所 有 数据 库 的 模板 
主要 由 SQL Server 代理 用 于 计划 警报 和 作业 
tempdb 系统 数据 库 是 一 个 全 局 资源 ,可 供 连 接 到 SQL Server 实例 的 所 有 
用 户 使 用 ,并 可 用 于 保存 显 式 创建 的 临时 用 户 对 象 .SQL Server 数据 库 引 
擎 创建 的 内 部 对 象 , 行 版 本 数据 等 
用 户 数据 库 用 户 自行 定义 ,一 般 是 取证 的 重点 


系统 数据 库 


可 以 通过 以 下 命令 确定 表 结 构 , 如 图 6. 174 


Cold name 时 

所 示 ， ] Name Ox0408D00000 Chinese_PRC_CIl_AS 
2 3 CadNo (x0408D00000 Chinese_PRC_ CI AS 
3 4 Desciot (x0408D00000 Chinese_PRC_Cl_AS 
USE 数据 库 名 4 5 Qfp (0408D00000 Chinese_PRC_CI_AS 
go 5 6 oafd 00408D00000 Chinese_PRC_ CI AS 
. 6 7 Gender (x0408D00000 “Chinese_PRC_ CI_ AS 
sp_tablecollations 表 和 名 7 8 Bhday 00408D00000 Chinese PRC Cl AS 
gO 8 9 Address (x0408D00000 Chinese_PRC_CI_AS 
9 10 zp 0x0408D00000 Chinese_PRC_CI_AS 
use 数据 库 名 如 图 6. 175 所 示 。 10 11 Dry  Qx0408D00000 Chinese_PRC_CI_AS 

6.174 查询 表 结 构 


gO 
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select top 100 * from 表 溃 


gO 
Na... CardNo Descriot CiTp QHfld Gender Bithday Address Zp 
1 i 陈 .，| OTH ”010116321 M 19000101 ”北京 市 海淀 区 苏州 街 3 100080 
2 杭 .. GID ”0282 M 19000101 ”河北 省 石家庄 京城 县 城 .. 051430 
3 李 .. OTH 010-125321 F 19000101 ”北京 市 海流 区 蓝 靛 厂 南 ...。 100097 
4 张 . OTH 010-130321 F 19000101 ”北京 市 三 环 东 路 11 且 北 .， 100029 
5 曹 ..… OTH “010-142321 F 19000101 ”北京 市 丰台 区 定安 东 里 ... 100007 
6 杨 .. OTH 010-186321 F 19000101 ”北京 市 朝阳 区 大 刘 路 风 .。 100101 
7 截 .. OTH “021.044321 M 19000101 ”上 海 金桥 出 口 加 工区 云 ..。 201206 
8 赵 .. OTH 021-127321 M 19000101 ”上 海 市 虹口 区 银 欣 路 38... 200008 
9 朱 - OTH 021-151321 F 19000101 ”上海 莘庄 光华 路 968 呈 ”201108 
10 邬 . OTH 021-166321 F 19000101 ”上 海 市 徐汇 区 虹桥 路 830...。 200030 
11 “和 孙 - OTH 021-215321 M 19000101 ”上 海 市 浦东 新 区 张 工 中 .。 201210 
12 王 ... OTH ”021-224321 上 19000101 ”上 海 市 嘉定 区 封 近 宝 园 ..。 201812 


图 6.175 查询 表 内 容 


2. 获取 数据 库 基 本 信息 

不 同 广 家 数据 库 的 操作 方法 不 同 , 即 使 同一 广 家 的 数据 库 , 不 同 版 本 的 操作 方法 也 有 区 
别 。 通 并 一 个 操作 系统 中 只 有 一 个 数据 库 , 但 是 也 会 有 多 个 数据 库 共 存 于 一 个 系统 中 。 取 
证 人 员 应 当 了 解 目标 系统 中 数据 库 的 基本 信息 ,包括 类 别 . 版 本 文件 目录 等 信息 。 

(1) 查询 版 本 

MS SQL Server 数据 库 版 本 的 查询 方法 : 在 查询 界面 中 运行 “Select @@VERSION” 
(适用 于 MS SQL Server 6.5 以 上 版 本 ) ,如 图 6. 176 所 示 。 


select BEVERSION 


EPLIRY 
于 到 名) 


1 | Meroso SQL Server 2008 R2 (RTM)- 10.50.1600.1 (ntel X86) Apr 22010155302 Copyig.. ， 


图 6.176 查询 数据 库 版 本 


获取 的 信息 为 “Microsoft SQL Server 2008 R2 (RTM) - 10. 50. 1600. 1 (Intel X86) 
Apr 2 2010 15:53:02 Copyright (c) Microsoft Corporation Enterprise Edition on Windows 
NT 6.1 ‘X86〉》(Build 7601: Service Pack 1) (Hypervisor)”。 其 中 不 但 有 数据 库 的 信息 ， 
还 包括 了 操作 系统 的 信息 。 

Oracle 数据 库 版 本 的 查询 方法 : 用 客户 端 连接 到 数据 库 , 执行 select x* from v 
$ instancs ,查看 version 项 。 

(2) 查看 数据 库 文件 的 保存 位 置 

MS SQL Server 查看 数据 库 文件 的 保存 位 置 方 法 ,如 图 6.177 所 示 。 

sp_helpdb 数据 库 名 


例如 “sp_helpdb rujia” 
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name 出 size CWwner dhid created 天 到 US compatibilty level 
1 | dwatest | .81MB MACBOOMPROOAMMEWMACBOOK 10 -0142014 Status=ONLINE., Updateabilty=READ WRITE. UserAce... 100 


蕊 二 0 C\Program Files\\Microsoft SQL Serve MSSQLIOMSS... PRIMARY 2304 KB Unlimited 1024 KB data only 
dhwatest log 2 CAProgram Files\Microsoft SQL Serve MSSQLIOMSS... NULL S76KB 2147483648 KB 10% log only 


6.177 查询 数据 文件 保存 位 置 


sp_helpdb 是 数据 库 引 擎 存储 过 程 (Database Engine Stored Procedures) 的 语句。 

3. 获取 易 丢 失 的 数据 

数据 库 取 证 时 ,数据 库 所 在 操作 系统 往往 处 于 运行 状态 ,其 内 存 中 保存 了 大 量 系 统 和 数 
据 库 的 缓存 信息 。 如 果 人 允许 联机 检查 ,应当 迅 速 利用 工具 对 内 存 进 行 镜像 ,提取 操作 系统 和 
数据 的 缓存 数据 。 数 据 库 的 缓存 信息 有 两 种 : 一 种 为 数据 库 直 接管 理 的 内 和 存 区 域 , 这 个 区 
域 可 以 通过 数据 库 管 理 命令 来 进行 分 析 或 提取 。 另 外 一 种 为 操作 系统 为 数据 库 系 统管 理 提 
供 的 缓冲 ,这 种 信息 较 难 提取 ,可 以 利用 内 存 取 证 工具 来 获取 分 析 。 例 如 可 以 通过 数据 库 进 
程 ID 来 获取 数据 库 在 内 存 中 的 运行 空间 。 

在 MS SQL Server 中 。Plan Cache 对 象 提 供用 于 监视 SQL Server 如 何 使 用 内 存 来 存 
储 对 象 (例如 存储 过 程 、 即 席 和 准备 的 Transact-SQL 语句 以 及 触发 器 ) 的 计数 器 。 本 
视 Plan Cache 对 象 的 多 个 实例 ,每 个 实例 代表 一 个 要 监视 的 不 同类 型 的 计划 。 通 过 跟 肾 
plan cache 数据 ,可 以 获取 内 存 中 的 数据 。 

查看 plan cache 数据 的 SQL 语句 脚本 ( 见 图 6. 178) 

USE Master 

GO 

SELECT 

UseCounts, RefCounts,CacheObjtype, ObjType, DB NAME(dbid) as DatabaseName, SQL 

FROM syscacheobjects 

ORDER BY dbid, usecounts DESC, objtype 


GO 
UseCounts RefLounts (CacheDbitype Obilype DatabaseName 3QL 

ad3 2 1 Parse Tree View NULL CREATE VIEW sys schemas AS SELECT sname. schema... 
24 2 1 Parse Tree NULL CREATE VIEW sys schemas AS SELECT sname, Schema 
245 2 1 Parse Tree View NULL CREATE VIEW sys .schemas AS SELECT sname. schema... 
246 2 1 Parse Tree View NULL CREATE VIEW sys schemas AS SELECT sname, schema... 
ad 2 1 Parse Tree View NULL CREATE VIEW sys schemas AS SELECT sname. schema... 
248 2 1 Parse Tree View NULL CREATE VIEW sys schemas AS SELECT sname. schema... 
249 2 1 Parse Tree View NULL CREATE VIEW sys .credentials AS SELECT coeid AS cre... 
20 2 1 Parse Tree View NULL create function sysin helpcollations ( ) retumstable as ... 
251 2 1 Parse Tree View NULL create function sys{n_halpcolations ( ) retumstable as ... 
252 2 1 Parse Tree View NULL CREATE VIEW sys server_sql_modules AS SELECT obiec... 
253 2 1 Pane Tree ~ Vew NULL CREATE VIEW sys identity_columns AS SELECT object id.. 
254 2 1 Parse Tree View NULL CREATE VIEW sys .dm _aexeec_connections AS SELECT” ... 
255 2 1 Parse Tree View NULL CREATE FUNCTION sys.dm_exwec_sql tedl@hande varbin... 
256 1 1 Extended Pr Proc NULL 二 _fleexidt 
257 1 1 Edended Pr... Proc NULL 地 _sqlagent_monitor 

图 6.178 查询 plan cache 数据 


296 电子 数据 取证 


4. 眼 蹊 记录 

通常 MS SQL Server 实例 安装 后 会 开启 一 个 默认 跟 野 (Default Trace) ,这 个 跟 跨 会 记 
录 引 起 级 别 较 高 的 重要 信息 。 跟 足 (trace) 记 录 保 存 了 数据 库 的 各 类 操作 信息 ,以 便 用 户 能 
根据 文件 内 容 来 解决 各 种 故障 。 跟 踊 记 录 的 存在 与 用 户 是 否 设 置 跟 踊 寅 略 有 关 。 取 证 人 员 
可 以 通过 对 跟 中 记录 的 分 析 来 发 现 信 息 。 例 如 ,取证 人 员 可 以 通过 跟 踊 记录 的 SPID、 
Transaction ID 等 信息 ,找到 进行 动作 的 用 户 ,并 跟 踩 这 个 用 户 所 做 的 所 有 操作 来 发 现 复 改 
和 删除 。SQL Server Profile 是 跟 踊 记录 的 图 形 化 工具 。 跟 踊 记 录 保 存在 MS SQL Server 
安装 目录 的 log 目录 下 (例如 C:\Program Files\ Microsoft SQL Server\ MSSQL10. 
MSSQLSERVER\MSSQL\Log) ,图 6. 179 是 以 “log_ 井 #.trc” 的 文件 形式 存在 。 


configuration_d name Value mnimm maimum value in use descrption 刘 _ 中 hma... 间 _advanced 
1568 | default trace enabled 1 0 1 1 Enable or disable the default trace 1 1 


图 6.179 查询 trace 状态 


确认 trace 是 否 被 开局 使 用 以 下 代码 . 
Select * from sys.configurations where name like '”%trace%,' 


5. 获取 数据 库 数据 文件 

数据 库 的 数据 文件 是 保存 数据 的 主要 载体 ,也 是 取证 工作 的 主要 目标 。 应 当 对 数据 的 
数据 文件 及 其 关联 文件 (例如 日 志 ) ,进行 符 合 司法 要 求 的 获取 。 如 果 数 据 库 无 法 离线 ,需要 
始终 处 于 联机 状态 ,应 当 使 用 备份 功能 ,将 数据 库 数据 保存 在 备份 文件 (MS SQL Server 为 
“bak” 文 件 ) ,但 是 即使 采用 “完整 备份 ?模式 ,也 仅 备 份 数据 库 本 身 , 而 不 备份 日 志 ( 虽 然 仅 
仅 备份 少量 日 志 用 于 同步 ); 如 果 数 据 库 处 于 离线 状态 ,建议 对 整个 硬盘 空间 进行 物理 镜 
像 。 无 论 哪 种 方式 获取 ,都 需要 对 获取 的 文件 或 镜像 计算 哈 布 校 验 值 (MD5 或 者 SHA-1)。 

数据 文件 不 允许 直接 在 源 服务 器 上 进行 取证 ,这 样 可 能 会 导致 数据 被 算 改 。 在 获取 数 
据 文件 后 ,应 当 重 构 数 据 库 环境 。 在 新 的 数据 库 环 境 中 还 原 数 据 库 , 青 进行 取证 。 

数据 库 备 份 脚本 : 

gO 

USE master 

gO 

BACKUP DATABASE dlwatest 

TO DISK= 'd:\dlwatest. bak' 

WITH init 

gO 

6. 获取 数据 库 日 志和 操作 系统 日 志 

数据 库 日 志 包 插 事 务 日 志 、 错 误 日 志 、 代 理 日 志和 控制 日 志 ; 操作 系统 日 志 包 括 应 用 程 
序 日 志 、 安 全 日 志 、 系 统 日 志 、IIS 日 志 。 表 6.65 对 日 志 进 行 分 析 , 定 位 可 疑 行为 。 
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表 6.65 数据 库 日 志 
名 称 保存 路 径 文 件 名 
Program Files\Microsoft SQL Server\MSSQL10_50. 实例 


事务 日 志 、 Ldf 
和 名 \MSSQL\Data 
z Program Files\Microsoft SQL Server\MSSQL10 50. 实例 

错误 日 志 Wp z 一 ERRORLOG. #( 间 为 数字 ) 
名 \MSSQI\LOG 
Program Files\Microsoft SQL Server\MSSQL10_50., 实例 : 

代理 日 志 z SQLAGENT. # 
名 \MSSQLALOG 

系统 日 志 SYSTEMROOT%\Windows\system32\config\ SysEvent. Evt 

应 用 程序 日 志 | SYSTEMROOT%\Windows\system32\config\ AppEvent. Evt 

安全 日 志 SYSTEMROOT%\Windows\system32\config\ SecEvent. Evt 

IIS 日 志 %SYSTEMROOT % \system32\logfiles\ ex 十 年 末 两 位 十 月 十 日 .log 


(1) 获取 事务 日 志 
需要 注意 的 是 ,企业 级 数据 库 系 统 出 于 性 能 上 的 考虑 ,会 将 用 户 的 改动 存 人 缓存 中 ,又 
根据 先 与 日 志 原 则 (Write Ahead Log) ,这 些 改 变 会 立即 写 人 事务 日 志 , 但 不 会 立即 与 人 数 
据 文 件 。 直 到 数据 库 的 检查 点 发 生 , 才 会 将 已 提交 守成 的 事务 所 修改 的 数据 从 缓存 中 写 人 
数据 文件 。 所 以 取证 人 员 对 活动 事务 日 志 进 行 在 线 联 机 收集 和 人 分析, 需要 注意 这 些 已 经 发 
生 但 仍 未 作用 到 数据 库 便 盘 实际 数据 上 的 修改 操作 ,以 获取 更 多 的 线索 和 证 据 信 息 。 

需要 注意 的 是 ,为 了 获取 日 志 trace 文件 而 将 数据 库 “ 断 开 连 接 ” 备 份 效 据 库 .日 志 等 
行为 会 导致 事务 日 志 稚 断 , 之 前 的 事务 日 六 火 失 。 

查看 事务 日 志 : dbcc log(dlwatest)( 见 图 6.180) 。 


Le 


Cument LSN Conteod Transaction ID LogBlockGeneration 
126 00000019:00000049:0001 LOP_BEGIN_XACT LCX_ NULL 0000:00000298 0 
127 00000013:00000043:0002 LOP_LOCK_XACT LCX_NULL 0000-00000238 0 
128 00000013:00000043:0003 LOP_LOCK_XACT LCX NULL 0000:00000298 0 
129 00000019:00000049:0004 LOP_MODIFY_ROW LCX_SCHEMA VERSI... 0000:00000000 0 
130 ”00000019:00000049:0005 LOP_COUNT_DELTA LCX_CLUSTERED 0000:00000000 0 
131 00000013:00000043:0006 LOP_COUNT_DELTA LCX_CLUSTERED 0000:00000000 0 
132 00000019:00000049:0007 LOP_COUNT_DELTA LCX_CLUSTERED 0000:00000000 0 
133 00000013:00000043:0008 LOP_COUNT_DELTA LCX_CLUSTERED 0000:00000000 0 
134 00000019:00000049:0009 LOP_MODIFY_ROW LCX_IAM 0000:00000298 0 
135 00000019:00000049:000a LOP_MODIFY_ROW LCX_PFS 0000:00000298 0 
136 00000019:00000049:000b LOP_MODIFY_ROW LCX_PFS 0000:00000298 0 
137 00000013-:00000043:000c LOP_HOBT_DDL LCX_NULL 0000-00000238 0 
138 00000013:00000043:000d LOP_DELETE_ROWS LCX_MARK AS_GHOST 0000:00000238 0 
139 00000013:00000043:000e LOP_MODIFY HEADER LCX_PFS 0000:00000000 0 
TN NN NN LAN PPT MiTe le MF THEM. MN NN nm 


图 6.180 查看 事务 日 志 


DBCC 是 MS SQL Server 提供 的 一 组 控制 台 命 令 ,功能 很 强大 , 擎 握 一 些 必要 的 语句 ， 
对 操作 数据 库 有 不 少 帮助 。 
但 是 在 大 容量 日 志 恢 复 模 式 下 ,删除 动作 可 能 不 会 被 记录 。 同 时 在 数据 库 关 闭 后 ,事务 
日 志 会 被 修改 ,有 可 能 导致 删除 记录 丢失 。 因 此 需要 在 数据 库 在 线 状 态 下 备份 日 志 。 
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日 志 备 份 脚 本 : 


gO 

USE master 

go 

BACKUP LOG dlwatest 

TO DISK= 'd:\dlwatest. beck.' 

WITH Init 

go 

(2) 获取 错误 日 志和 代理 日 志 

MS SQL Server 的 错误 日 记 文 件 Error. Log 记录 了 一 个 进程 成 功 完成 与 否 ,包括 备份 
和 还 原 操作 , 批 处 理 命令 或 其 他 脚本 和 进程 。MS SQL Server 每 次 重新 启动 ,都 会 产生 一 个 
新 的 铬 误 日 志 , 原来 的 错误 日 忘 备份 下 来 。MS SQL SERVER 错误 日 记 记 录 为 
ERRORLOG. #(# 为 数字 )。 错 误 日 记 默 认 保 留 最 近 的 7 个 。 除 此 之 外 ,MS SQL Server 
还 有 代理 日 志 , 文 件 名 为 SQLAGENT. ##(# 为 数字 )。 这些 日 志 在 数 据 库 活动 状态 下 无 法 
获取 ,需要 将 数据 库 集 挥 后 获取 ，。 

7. 分 析 数 据 库 临时 表 

TempDB 是 一 个 全 局 数据 库 , 存 储 内 部 和 用 户 对 象 还 有 临时 数据 、 对 象 。MS SQL 
Server 数据 库 系统 的 临时 数据 库 是 其 TempDB 数据 库 , 在 一 个 MS SQL Server 数据 库 中 ， 
只 有 一 个 TempDB。Oracle 数据 库 系 统 的 临时 数据 库 在 其 temp 表 空 间 中 。 系 统 临 时 数据 
库 的 数据 保存 在 物理 便 盘 上 ,而 不 是 存放 在 内 存 中 ,不 过 这 是 暂时 的 ,不 是 永久 存储 的 ,每 次 
重新 司 动 都 会 导致 以 前 数据 的 丢失 。 取 证 人 员 可 以 通过 SQL 命令 来 联机 收集 和 分 析 系 统 
临时 数据 库 中 数据 。 系 统 临 时 数据 库 操 作 的 事务 也 会 记录 在 日 志 中 ,但 临时 数据 库 的 
仅仅 记录 事务 回 滚 (Undo) 的 信息 ,而 不 记录 重 做 (Redo) 事 务 的 信息 。 

8. 防火 增 和 和 人 入侵 榨 测 系统 日 意 

防火 场 CFirewal) ,是 位 于 内 部 网 络 与 外 部 网 络 之 间 的 网 络 安全 系统 。 它 是 一 种 计算 
机 硬件 和 软件 的 结合 ,使 Internet 与 Intranet 之 间 建 立 起 一 个 安全 网 关 (Security 
Gateway) ,从 而 保护 内 部 网 免 受 非法 用 户 的 侵入。 防火 墙 单 纯 被 动 防御 。 

入 侵 检 测 系 统 (intrusion detection system,IDS) 是 一 种 对 网 络 传输 进行 即时 监视 ,在 发 
现 可 疑 传 输 时 发 出 警报 或 者 及 取 主动 反应 措施 的 网 络 安全 设备 。 它 与 其 他 网 络 安全 设备 的 
不 同 之 处 在 于 ,IDS 是 一 种 积极 主动 的 安全 防护 技术 。 

无 论 是 防火 墙 还 是 人 侵 检测 系统 ,部 实时 记录 网 络 数据 传输 情况 。 按 照 不 同 的 案 略 将 
坷 要 注意 的 情况 记录 在 日 志文 件 中 。 二 者 的 日 记 痢 是 献 认 开 局 的 。 

在 实践 中 ,可 以 利用 数据 库 管理 和 维护 工具 来 进行 批量 获取 。 例 如 SQL Server 
Management Studio,SQLDiag、SQLNexus、Log Explorer 等 。 对 于 日 志和 trace 记录 ,可 以 
利用 SQLDiag 工具 来 批量 获取 以 下 信息 。SQLDiag 是 微软 提供 的 一 蒜 用 于 获取 数据 库 动 
态 信 息 的 工具 。 默 认 情 况 下 ,“sqldiag” 工 具 必 须 被 Windows 管理 员 权 限 来 运行 。 
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SQLDiag 这 个 工具 可 以 收集 的 信息 有 : 

(1) Windows 事件 日 志 

(2) SQLSERVER ErrorLog, 以 及 SQL 配置 信息 ,一 些 重要 运行 

(3) SQL 曾经 产生 的 DUMP 文件 

(4) 服务 冀 系 统 配 置信 息 

(5) 同时 包含 有 系统 和 SQL 性 能 计数 需 的 性 能 日 志 

(6) 服务 大 问 Trace 

SQLDiag 工具 默认 安装 在 : C:\Program Files\Microsoft SQL Server\100\Tools\Binn 
(MS SQL Server 2008 R2) 。 

你 可 以 使 用 另外 两 个 SQLDiag 自 带 的 XML 配置 文件 SD_General. xml 和 SD_ 
Detailed. xml, 这 两 个 xml 文件 跟 SQLDiag. exe 在 同一 日 录 下 。 应 当 使 用 命令 “SQLdiag. 
exe/1(configure file》/O 〇 OCoutput_directory) ”将 结果 转 储 到 外 置 存 储 中 ,而 应 当 保 存在 本 地 ，。 

SQLDiag 必须 在 对 数据 库 进 行 修改 操作 (例如 备份 数据 库 或 日 志 ) 之 前 运行 ,才能 获得 
数据 库 当 前 重要 信息 。 


6.13.7 数据 库 离 线 取 证 


数据 库 离 线 取证 技术 ,是 指 目标 数据 库 处 于 非 活 动 状态 ,通过 分 析 其 元 数据 (Metadatay) 
或 者 重 构 数据 库 环境 ,来 分 析 数 据 库 内 容 的 技术 。 数 据 库 神 态 取 证 拉 术 主要 分 为 以 下 
层次 : 

(1) 对 于 直接 可 读 的 数据 库 , 例 如 Access、 SQLite。 可 以 直接 分 析 其 属性 信息 或 者 查 
看 查询 其 中 数据 。 这 种 层次 对 于 取证 人 员 的 要 求 最 低 。 

(2) 企业 级 数据 库 中 并 不 是 结构 化 数据 ,通过 取证 工具 直接 可 视 。 对 于 企业 级 数据 库 
的 取证 需要 重 构 数 据 库 环境 , 方 可 通过 结构 化 查询 语言 对 其 内 容 进 行 查询 。 数 据 库 重 构 是 
取证 人 员 的 必 备 技能 ,一 般 来 说 ,数据 库 经 过 重 构 后 ,就 可 以 顺利 地 查询 数据 。 

(3) 某 些 应 用 程序 ,例如 ERP(Enterprise Resource Planning 企业 资源 计划 系统 )、 财 务 
软件 ,数据 的 存储 都 是 建立 在 企业 级 数据 库 上 的 ,对 这 些 软件 的 分 析 , 不 但 需要 重 构 数据 库 
环境 还 宕 要 重 构 软 件 应 用 环境 。 这 种 层次 不 但 要 求 取 证 人 员 有 数据 库 相 关 知 识 , 对 于 应 用 
程序 的 架构 和 使 用 也 要 熟悉 。 

(4) 数据 库 的 信息 被 删除 ,需要 恢复 。 这 种 情况 需要 根据 数据 库 的 特性 来 人 工分 析 。 
这 需要 对 数据 库 元 文件 进行 数据 恢复 和 提取 。 对 于 取证 人 员 的 要 求 很 高 。 

- 般 来 说 ,企业 级 效 据 库 的 离线 取证 需要 注意 以 下 问题 

(1) 数据 库 的 环境 重 构 

重 构 数据 库 环境 ,可 以 使 用 两 个 办 法 重 构 数 据 库 环 境 : 一 是 使 用 复制 盘 , 百 接 在 复制 盘 
上 进行 环境 重 构 ; 二 是 使 用 虚拟 机 ,在 虚拟 机 中 重 构 数据 库 环境 。 二 者 都 不 会 影响 到 数据 
库 文 件 的 原始 性 。 
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数据 库 重 构 需 要 注意 使 用 的 数据 库 最 好 与 源 数据 库 的 版 本 一 致 ,或 者 版 本 高 于 源 数据 
库 以 做 到 向 下 兼容 。 例 如 MS SQL Server 2008 和 MS SQL Server 2008 R2 就 是 两 个 不 同 
的 数据 库 ,MS SQL Server 2008 的 版 本 号 是 10. 00. 1600. 1; MS SQL Server 2008 R2 的 版 
号 是 10.50. 1600. 1。 后 者 向 下 兼容 前 者 。 如 果 在 MS SQL Server 2008 上 恢复 MS SQL 
Server 2008 R2 的 数据 库 备份 ,将 会 产生 错误 。 
0 I DD 0 例如 吉 客 入 
侵 案 件 中 ,为 了 销毁 人 侵 痕 迹 , 人 侵 者 往往 会 直接 删除 LDF 文件 消除 日 志 。 这 就 需要 擎 握 
只 有 MDF 文件 的 数据 库 还 原 。 

只 有 MDF 文件 的 数据 库 还 原 首 选 震 要 确定 数据 库 文 件 的 版 本 。 较 新 版 本 的 SQL 
Server 创建 的 数据 库 , 不 能 附加 或 还 原 到 较 早 的 版 本 。 这 个 限制 仅仅 是 因为 无 法 知道 新 版 本 
中 有 关 文 件 格式 的 变化 。 如 果 将 MDF 文件 导 和 人 一 个 错误 版 本 的 数据 库 中 ,出 现 出 错 信息 。 

(2) 利用 SQL 提取 数据 

通过 数据 环境 重 构 ,数据 库 恢 复 到 可 用 状态 ,数据 库 中 的 内 容 就 可 以 正常 读 取 了 。 这 些 
内 容 往 往 是 重要 线索 的 来 源 。 通 过 大 数据 的 碰撞 比 对 ,可 以 关联 出 需要 的 信息 。 数 据 库 是 
重要 的 载体 ,而 SQL 语句 则 是 工具 。 

例如 ,在 一 个 网 络 诈 骗 的 案例 中 ,犯罪 嫌疑 人 虚构 了 一 个 著名 在 线 购 物 网 站 的 页 面 , 诱 
导 网 民 访 问 ,网 民 输 入 用户 和 名 密码 后 ,用 户 名 密码 就 会 被 保存 在 数据 库 中 。 通 过 SQL 请 句 ， 
可 以 迅速 地 过 滤 出 被 害 者 的 名 单 .访问 地 址 .访问 时 间 ,如 图 6.181 所 示 。 


“local) 工 | 


i SOL Server Enterprise Manager - [ 表 “BuyerData” 中 的 数据 ， 世 置 是 “Kehu031 "中 、 
面 文件 IE) 有 OW 站 
区 至 计 计 飞 医 续 


SELECT name, passsord, [time], ip, suoshubbbiaoti, suoxuambank, suoshubb jiaee .| 
FROM BuyerDat 


| 
.| » | 
name password ltine lip |suoshubbbiaoti |suoxuanbank |suoshubbji: | 
| | 海洋 95 | 2012-T-30 20:00:00 113. 224. 152, 202 格 才 亚 了 Mi120LWAE (12568L)h 建设 银行 - 储 芋 卡 4550.00 | 
‖ | T39870670 rhangpeiTld923 2012-8-1 18:20:00 218. 29. 166. 14 7 天 包 退 换 二 用 S122165L 专 柜 支付宝 休 客 支付 180. 00 
| | wigr igigrlgTBl02T 2012-8-3 17:34:00 219. 156. 174. 193 iphone4 黑 部 16z 国 行 有 洗 票 蚀 “HULL> 2000. 00 
| | .amgl9890511 ”zccl9890511 2012-8-3 17:57:00 219. 136. 181. 20 区 全 新 正品 让 人 府 肖 S5T00-46T “NULLy TB00. 00 
人 | 134175533 duamnmimEgnong 2012-8-3 21:47:00 BO. 2. 199. 54 节能 静音 上 著 102L 准 凑 淮 慷 中 国 银 行 - 倩 昔 卡 350. 00 
六 | 亚 电 子 123 wangjiawenl23 20 二 2-8-3 22:02:00 222. 2.57.98 苹果 笔记 本 电脑 超 薄 02500 真 . QULL> T00.00 
| ft_ HJ Di07has6el 2012-8-3 22:08:00 s8. 51. 196. 198 IBMNe320E320 (1298h41)〖 行 汪 全 和 3200.00 
人 | ishengll0 lps351 2012-8-4 11; 由 :00 106. 3.61. 244 ipa 虹 166 本 人 自用 侣 发 票 转 计 QULL 2100. 00 
| 250332038 Tin2tong2fai2AB 2012-8-4 11:4:00 122. 98. 50. 5 举 末 电信 一 区 天 目 山 20000 元 ， 吉政 全 区 -全 关 300. 00 
| 岛 1266 rpel33076412688 2012-6-4 11:55:00 222.218.240.210 新 款 虹 动 沸 板 车 电动 自行 车 NLL> 860. 00 
| 孝 黑 夜 592B0T9qukhaaya 2012-8-4 11:57:00 218. 19. 229. 251 ipa 电 18G 本 人 自用 合 发 标 转 计 志 付 宝 余额 志 付 2000. 00 
| | a308121677 Hd2523wyqg. 2012-8-4 12:27:00 122. 6. 173, 197 美的 外 贸 窗 式 宝 调 窗 式 机 1.5 中 国 银 行 - 傅 蔓 卡 -1300. 00 
”| 朱 的 小 猪 2011 ”无需 登录 2012-8-4 15:48:00 #49. 72. 23. 49 hpple/ 芋 果 iFhone4Ss( 18G】 变通 银行 - 傅 董 卡 2200.00 
国 fpfal26. com BlB0rpf2ae 2012-8-4 15:50:00 114. 85. 252. 32 捷 实 特 山地 目 行车 一 熔岩 530 支付 宝 余 镭 支 导 580. 00 
| | 秀 琼 上 1379d6B6623 2012-8-4 15:50:00 58. 255. 214. 203 海水 壁挂 式 家 用 单 淮 友 1 匹 定 : LL》 1400. 00 
”| 航 5660 ximinlOn200 2012-8-4 15:54:00 124. 42. 201. 181 出 小 米 手机 标 蕉 版 “HULL> 1300.00 
| | Epfal26. com Bl60pE296 2012-8-4 15:55:00 114. 85. 252, 32 捷安特 山地 自行 车 一 熔岩 530 *HULL> 5830. 00 
二 | 荐 1 qipinedd09 2012-8-4 15:59:00 1iz.3. 0, 109 国 行 黑色 号 新 iFhone4168 无 六 过 付 宇 杂 宣 志 人 周 1500. 00 
天 中 anaiqingsqe Bloo5tt 2012-8-9 11:22:00 118.117.181,100 ”6 地 素 /TAZZLE2012 年 夏装 222| 中 国 银 行 - 情 用 卡 1.00 
| nigqingeqe BlooStt 2012-8-9 11:25:00 116. 117. 161,100 6 地 索 /TAZZLE2012 年 夏 转 2221 建设 银行 -信用 卡 1. 00 
国 winls mingl2? 2012=8=9 11:27:00 183. 249. 127. 8 国 行 黑色 95 新 iFhone416G 无 扩 工商 银行 = 储 著 卡 50. 00 
| naiqingqe Blo05tt 2012-8-9 11:31:00 118. 117. 181.100 ”8 地 索 /DhZTTLE2012 年 夏装 2221| 建设 银行 -信用 卡 1.00 
| pias200 TTSSS521mm 2012=8-=9 11:32:00 106 224. 129. 190 [全 国 包 邮 顺 丰 快 这] siama 工商 银行 = 储 芋 卡 1180. 00 
| xinl2 nigl2? 2012-8-9 11:34:00 183. 249. 127. 96 国 行 黑 色 35 新 iFhomedl6G 开 书 工商 银行 - 侍 著 卡 480. 00 
| x1180 al23456 2012-8-9 11:39:00 112. 115, 150, 201 【全 国 包 邮 有 顺丰 快递 本 Sigma “WLL> 1160.00 
| anaiqingeqe 861005tt 2012-8-9 11:39:00 118. 117. 181, 100 8 地 素 /DAZZLE2012 年 夏装 222 建设 银行 -信用 卡 1.00 
p19 站 ] 必 二 6 2012-8-9 11:#:00 lle. 115, 150, 201 【兴国 各 邮 屈 直 快 说]】5Siema 农 汪 急行 - 赃 带 卡 1180. 00 .| 


图 


6.181 


虚假 购物 网 站 的 BuyerData 表 查 询 
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0.13.8 小 结 


在 大 数据 时 代 , 数 据 库 在 各 个 方面 会 广泛 应 用 。 从 最 人 简单 的 存储 有 各 种 数据 的 表格 到 
海量 存储 公众 信息 的 大 型 数据 库 系 统 ,这 些 数据 库 中 蕴藏 者 丰 明 的 信息 。 相 对 于 非 结 构 化 
数据 ,结构 化 的 数据 库 在 运行 效率 上 占有 优势 ,可 以 迅速 有 效 地 提取 出 对 于 侦查 有 效 的 数据 


6.14 系统 环境 仿真 取证 


电子 数据 取证 ,按照 取证 的 环境 区 分 ,可 以 划分 为 项 态 取证 和 动态 取证 。 

前 态 取 证 是 普 训 使 用 的 取证 方式 ,是 对 “文件 级 ”的 电子 数据 的 获取 和 分 析 , 属 于 被 动 的 
取证 方法 。 和 静态 取证 的 缺点 是 无 法 获取 "活动 "的 数据 进行 获取 和 分 析 。 如 有 朱 在 现场 发 现实 
时 运行 的 计算 机 设备 ,采用 的 是 动态 取证 方法 。 

动态 取证 强调 数据 的 实时 获取 ,是 主动 的 取证 方法 。 动 态 取 证 利用 工具 实时 获取 或 者 
监控 运行 的 系统 信息 ,提取 有 效 数据 ,缺点 是 需要 非常 了 解 日 标 系统 、 针 对 取证 环境 要 预先 
配置 ,对 取证 人 员 和 工具 要 求 较 融 。 

电子 数据 取证 人 员 ,尤其 是 检验 鉴定 人 员 ,更 布 望 能 够 “实时 ”查看 系统 运行 环境 ,以 了 
解 犯罪 行为 和 和 下 接 后 来 ,便于 查找 犯罪 证 据 。 这 种 模拟 系统 环境 的 取证 称 为 “系统 环境 仿真 

取证 ?”。 系 统 环境 仿真 取证 通过 虚拟 机 技术 实现 对 物理 介质 的 迁移 和 转换 ,并 在 虚拟 系统 环 
境 中 实现 对 电子 数据 的 动态 取证 分 析 。 它 集中 了 静态 取证 和 动态 取证 的 方法 ,将 仿真 扩 术 
运用 于 电子 数据 取证 中 ,将 静态 的 介质 或 瑚 镜像 ,在 与 保护 的 前 捉 下 仿真 司 动 ,模拟 出 真实 
的 系统 司 动 环境 。 虽 然 无 法 获得 现场 内 存 中 的 数据 ,但 是 能 够 复 现 嫌疑 人 的 系统 状态 。 系 
统 环境 仿真 对 于 黑客 犯罪 的 侦查 尤为 有 用 。 


6.14.1 虚拟 机 技术 


虚拟 机 是 利用 虚拟 化 技术 ,将 虚拟 机 中 间 层 添加 到 箱 主 计算 机 系统 与 虚拟 机 系统 之 间 ， 
模拟 实现 处 理 融 、 内 存 管理 单元 、 输入 输出 系统 等 计算 机 必 备 系统 。 对 于 用 户 ,不 需要 增加 
便 件 ,就 可 以 虚拟 出 一 台 功 能 完善 的 计算 机 。 从 应 用 程序 的 角度 来 看 ,应 用 程序 都 在 某 一 特 
定 的 指 和 set architecture,ISA) 或 操作 系统 上 运行 ,根本 感知 不 到 是 运行 
在 一 台 虚 拟 机 上 还 是 在 一 台 实 体 计 算 机 。 目 前 全 球 主 流 虚 拟 化 厂商 有 VMware 、Citrix、 
HyperV 、OpenStack 等 。 

虚拟 机 技术 分 为 完全 虚拟 化 (fullvirtualizatio) 和 谁 虚 拟 化 (paravirtulizatio) 两 种 类 型 。 
二 者 的 区 别 在 于 客体 的 操作 系统 指令 体系 (ISA) 和 宿主 的 操作 系统 指令 体系 (ISA) 是 否 相 
同 。 对 于 电子 数据 取证 ,采用 完全 虚拟 化 搁 术 的 系统 虚拟 化 方式 具有 很 好 的 莱 容 性 ,而 
VMware 属于 采用 完全 虚拟 化 技术 的 虚拟 机 。 
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6.14.2 系统 环境 仿真 取证 原理 

目前 大 部 分 的 ,系统 环境 仿真 取证 软件 都 是 基于 VMware 虚拟 机 技术 的 。VMware 可 
以 将 系统 镜像 ,物理 存储 介质 和 虚拟 机 进行 虚拟 化 ,可 以 实现 物理 机 到 虚拟 机 (P2V)、 虚 拟 
机 到 虚拟 机 (V2V)、 镜 像 到 虚拟 机 (I2V) 的 迁移 。 

虚拟 机 的 镜像 方式 分 为 热 镜像 和 冷 镜 像 方 式 。 其 中 , 热 镜像 也 叫做 实时 镜像 或 联机 镜 
像 ,在 源 存 储 机 制 的 操作 系统 运行 状态 下 对 源 存 储 介 质 进 行 迁移 转换 。 由 于 在 转换 期 间 
Converter Standalone 代理 进程 直接 安 衣 运行 在 开机 状态 下 的 源 计 算 机 中 ,使 源 人 存储 介质 系 
统 的 内 存 状 态 、 网络 状 态 和 文件 结构 发 生 改 变 , 对 原始 数据 的 唯一 性 和 完整 性 造成 破坏 。 因 
此 生成 的 虚拟 机 不 是 源 计算 机 的 精确 副本 ,只 能 作为 在 线 取 证 使 用 ,无 法 作为 系统 环境 仿真 
使 用 。 

冷 镜 像 使 用 Windows 预 安装 环境 和 Converter Standalone 应 用 程序 的 光盘 重新 引导 
源 计算 机 。 冷 镜像 在 转换 期 间 源 存储 介质 上 不 会 发 生 任 何 更 改 , 因 此 可 以 创建 精确 的 镜像 。 
利用 冷 镜像 是 系统 环境 仿真 使 用 的 主要 技术 。 采 用 Converter Standalone 的 冷 镜像 技术 能 
哆 保证 原始 便 盘 的 真实 性 和 电子 数据 的 完整 性 ,符合 电子 取证 的 要 求 , 可 以 作为 现场 取证 的 
手段 之 一 。 


6.14.3 系统 环境 仿真 取证 实战 


系统 环境 仿真 文 持 基于 便 盘 的 镜像 和 基于 卷 的 镜像 。 基 于 卷 的 镜像 是 将 卷 从 源 人 存储 介 
质 复 制 到 宿主 计算 机 。 源 存储 介质 的 卷 在 答 主 计算 机 的 虚拟 机 上 会 转换 为 基本 卷 。 基 于 卷 
的 镜像 可 在 文件 级 别 或 块 级 别 执行 。 基 于 便 盘 的 镜像 会 复制 所 有 便 盘 的 所 有 怖 区 ,为 所 有 
类 型 的 基本 便 盘 和 动态 便 盘 创建 源 存储 的 副本 ,并 保留 所 有 卷 元 数据 , 窒 主 计算 机 的 虚拟 机 
接收 的 分 区 类 型 大 小 和 结构 与 源 存 储 介质 完全 相同 。 

目前 ,系统 环境 仿真 取证 软件 ,国外 主要 有 VFC 和 Liveview, 国 内 美亚 相 科 、 盘 石 等 公 
司 也 有 产品 ,对 于 国内 的 修改 版 的 操作 系统 仿真 比较 有 优势 。 某 些 系 统 环 境 仿真 取证 软件 
还 增加 了 操作 系统 登录 口令 比 过 功能 。 

系统 环境 仿真 取 证 软件 在 虚拟 驱动 时 ,利用 VMware 的 Converter Standalone 组 件 会 
将 源 存储 介质 或 逻辑 卷 镜像 ,并 将 该 数据 传输 至 目标 虚拟 硬盘 来 创建 目标 虚拟 机 。 整 个 取 
证 过 程 中 ,要 利用 写 保 护 设备 ,防止 虚拟 机 误 写 入 数据 。 某 些 系 统 环境 仿真 取证 软件 在 启动 
虚拟 系统 后 ,取证 人 员 可 以 对 仿真 起 来 系统 进行 初步 检查 ,例如 日 期 和 时 间 .人 硬盘 分 区 情况 、 
操作 系统 和 版 本 . 蝎 面 文件 、 稼 用 文件 等 信息 一 目 了 然 ,能够 为 取证 人 员 提 供 最 直观 的 系统 
情况 ( 见 图 6. 182) 。 

系统 环境 仿真 技术 也 有 它 的 局 限 性 ; 一 是 存储 介质 本 质 上 还 是 静态 存在 ,在 取证 中 需 
要 重新 引 叶 ,如 要 获取 正在 运行 的 内 存 中 的 数据 ,只 能 在 现场 取证 中 进行 获取 ,仿真 后 是 无 
法 提取 到 现场 数据 的 ; 二 是 系统 环境 取证 软件 对 于 某 些 特殊 的 便 件 驱动 无 法 识别 (如 阵列 


村 = 
Ss 


我 的 立 档 恒 


ela ee 


5 
日 村 
脐 ? 旋 榴 


花 呈 西游 se 醚 我 音乐 总 
ol 


一 几 | 
What do you want to go 


首 进 鲜 淖 淖 描 让 韦 雷 看 淖 措 故 | 
[ss] BB s, 
多 由 i | 


图 6. 


第 6 章 电子 数据 取证 技术 


而 Initialization Parameters 
RAN S11ze System Time 


Sl2 320153511-10 10:45:34 


Dperatine System (om image) 
Buto Detect 二 


Select Tour Image or Disk 


Inage File(s) (BPhysicsl Disk 
Choose Tour Disk [WDC WS0 OBB-88JH VSB Device (75,0 66) | | 


| Select hatput Direciory For WW Config Files 


Ic -Users\Forensi ceO03 


入 Launeh Ny Iaage (SGenerate ConEiE Only 


Betl om 


LETTT 


Extracted Gurent Gontrol Set Walye: 2 

Critieal Davise Database Updated 

System Hiwve Unloaded 

Snapshot Unmaounted 

Bootable Partition 1: winXPPreo prepared for launech 
Attempting to Launech Forensic Image in Wirnual Maechine 


| Please Wait.. 


WhlWNare Wotkstation Launceh Gompleted 


182 Liveview 仿真 


卡 的 驱动 ;。 同 时 也 不 是 上 所 有 系统 或 者 版 本 的 登录 口令 能 够 红 过 ,需要 利用 密码 破解 技术 破 
解 登录 口令 才能 进入 虚拟 系统 中 。 


王 瑚 二 考 
3 3 所 


.对 于 取证 目标 的 时 间 检 查 , 需 要 注意 哪些 方面 ? 

, 复制 文件 的 M-A-C 时 间 是 如 何 变 化 的 ? 

.C/UNIX 时 间 格 式 的 “C9 8E 89 19” 解 析出 来 的 时 间 是 什么 ? 
,访问 时 间 具 有 完全 的 证 所 效力 吗 ? 为 什么 ? 

，Windows Vista 之 后 的 用 户 目 录 是 什么 ? 


休 虐 文件 保存 的 路 径 和 文件 名 是 什么 ? 

国内 外 常见 的 浏览 占有 哪些 (请 列举 出 至 少 4 个 )? 

浏 宽带 部 具有 哪些 共同 特点 ,记录 了 哪些 数据 信息 ? 
通过 对 浏览 带 进 行 数据 分 析 , 可 了 解 哪些 用 户 网 络 行为 ? 
. 注册 表 的 组 织 结构 分 为 哪 三 个 部 分 ? 

. 注册 表 的 取证 方法 分 为 哪 几 种 ? 

. 安装 信息 在 注册 表 中 的 哪个 键 值 ? 

. 电子 邮件 常用 的 三 个 编码 标准 是 什么 ? 
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14. Windows 95/98/ME/NT/2K/XP 和 Windows Vista/7/2008 的 回收 站 有 什么 不 同 ? 
15. 内 存 分 析 的 主要 工具 是 什么 ? 

16. 事件 日 志 主 要 分 为 哪 几 种 ?” 都 有 什么 作用 ? 

17. JIS 日 志 的 默认 保存 位 置 是 什么 ? 

18. Mac OS 动态 取证 时 应 注意 哪些 问题 ? 

19. Mac OS 人 硬盘 镜像 时 ,如 何 进入 目标 人 磁盘 模式 ? 

20. 常见 的 Linux 发 行 版 本 都 有 哪些 ? 

21. Linux 系统 下 的 磁盘 及 分 区 命名 与 Windows 系统 有 什么 差异 ? 
22. Linux 原生 支持 的 文件 系统 都 有 哪些 ? 

23. 请 利用 GREP 语法 查找 监听 23 端口 的 进程 。 

24. 移动 终端 取证 介质 的 普兰 范围 是 什么 ? 

25. 移动 终端 取证 与 计算 机 取证 的 区 别 是 什么 ? 

26, 移动 终端 取证 的 原则 是 什么 ? 

27. 移动 终端 的 主要 操作 系统 有 哪些? 

28. 移动 终端 的 编码 是 什么 ? 

29. 移动 终端 的 取证 流程 是 什么 ? 

30. 移动 终端 的 取证 内 容 是 什么 ? 

31. 实际 连接 并 访问 一 个 Android 设备 , 列 出 其 目录 结构 ,浏览 其 通话 记录 数据 库 。 
32. Linux 下 ,Apache 的 配置 目录 是 哪个 ? 

33. 查询 “8. 8. 8. 8” 的 IP 信息 。 

34. 突破 Windows 登录 密码 的 方式 有 哪 几 种 ? 

35. Windows 和 Linux 下 查询 MAC 地 址 的 命令 是 什么 ? 

36. Word 文档 格式 的 元 数据 通常 包含 哪些 信息 ? 

37. 数字 图 像 包 含 的 数据 有 哪些 (请 列举 出 3 种 以 上 )? 

38. 恶意 代码 有 哪些 种 类 (请 列举 出 3 种 以 上 )? 

39. RAID5 的 校 验方 向 有 哪些 ? 

40. NTFS 分 区 默认 簇 大 小 有 哪 几 种 ? 

41. 和 通 人 式 便 盘 录 像 机 大 多 采用 什么 样 的 操作 系统 和 文件 系统 ? 
42. 硬盘 固件 修复 的 常规 方法 有 哪些 ? 

43. 硬盘 开盘 的 环境 要 求 是 什么 ? 

44. 请 列 出 主流 数据 库 。 

45. SQL 语言 应 用 最 多 的 三 类 语言 是 什么 ? 

46, 数据 库 取证 的 层次 有 哪些 ? 

47. 虚拟 机 的 镜像 方式 分 为 哪 几 种 ? 和 名目 有 什么 特点 ? 


电 了 于 数据 勘 验 和 检 会 


本 章 学 习 目 标 

。 电子 数据 勘 验 和 检查 的 基础 知识 

。 网 络 犯 罪 现 场 和 传统 犯罪 现场 的 区 别 

。 电子 数据 勘 验 检查 与 鉴定 检验 的 联系 和 区 别 
。 电子 数据 勘 验 和 检查 的 原则 

。 电子 数据 现场 勘 验 的 基本 流程 

。 提取 萄 丢失 数据 的 方法 

。 在 线 分 析 的 原则 

。 固定 证 物 的 方法 

。 勘 验 笔 录 的 制作 


勘 验 .检查 是 刑事 诉讼 法 规定 的 重要 侦查 "手段 。 勘 验 、 检 查 产 生 的 笔录 是 刑事 诉讼 法 
规定 的 证 据 类 型 2 之 一 。 因 此 项 验 、 检 查 是 在 刑事 诉讼 过 程 中 利用 侦查 手段 固定 犯罪 证 据 
的 过 程 。 目 前 ,犯罪 现场 留存 的 电子 设备 和 电子 数据 越 来 越 多 ,电子 数据 勘 验 检查 已 经 成 
为 侦查 破案 重要 环 市 之 一 。 这 项 工作 做 得 充分 ,可 以 为 案件 的 便 办 打下 民 好 基础 ,否则 会 叶 
致 大 键 证 据 灭 失 ,造成 不 必要 的 周折 和 损失 。 


7.1 电子 数据 勘 验 和 检查 概述 


世界 各 国 堵 方 虱 对 其 验 和 检查 高 度 重视 ,制定 了 符合 本 国 现实 要 求 的 其 验 和 检查 规范 
和 方法 。 作 为 网 络 犯 罪 最 为 独 狂 和 电子 数据 取证 技术 最 为 发 达 的 美国 ,很 早 就 开始 者 手 制 
定 相应 的 电子 数据 勘 验 和 检查 规则 。 经 过 多 年 的 学 术 探讨 ,综合 了 多 方 的 意见 ,美国 司法 部 
2001 年 颁布 了 《计算 机 犯罪 现场 勘 验 一 一 初始 响应 指南 》, 目 前 已 经 更 新 到 第 二 版 ,是 指导 
所 有 执法 人 员 ( 无 论 是 专业 的 还 是 非 专业 的 ) 进 行 电子 数据 勘 验 和 检查 的 权威 手册 。 英 国 首 
席 警官 协会 (Association of Chief Police Officers, ACPO9) 也 颁布 了 《计算 机 证 据 实 践 指导 


《中 华人 民 共 和 国 刑事 诉讼 法 ) 第 二 编 第 二 章 第 四 市 “ 勘 验 检查 ”。 

《中 华人 民 共 和 国 刑事 诉讼 法 ) 第 一 编 第 五 章 第 七 条 “ 勘 验 .检查 、 辨 认 .侦查 实验 等 笔录 ”。 
Electronic Crime Scene Investigation: A Guide for First Responders, Second Edition 
http;//www,. acpo. police, uk,ACPO 已 经 改组 为 NPCC(National Police Chiefs” Council) 
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第 二 版 ,对 电子 数据 勘 验 和 检查 提出 指导 意见 。 

我 国 公 安 部 于 2005 年 颁布 了 《计算 机 犯罪 现场 勘 验 与 电子 证 据 检 查 规 则 》; 目的 在 于 
规范 公安 机 关 计 算 机 犯罪 勘 验 和 检查 程序 ,保证 计算 机 犯罪 勘 验 和 检查 的 规范 性 、 提 取证 据 
的 真实 性 .客观 性 和 完整 性 ,防止 因为 过 程 不 合法 而 导致 最 终结 果 不 能 被 法 庭 采 信 或 者 结果 
错误 。 以 准确 、 及 时 查 明 犯罪 事实 ,惩罚 犯罪 分 子 , 保 护 公 民 合 法 权益 。 随 着 网 络 犯 罪 与 传 
统 犯罪 的 逐渐 融合 ,这 一 规则 已 经 普遍 适用 于 保存 有 电子 数据 的 所 有 犯罪 现场 的 勘 验 和 
检查 。 

《计算 机 犯罪 现场 勘 验 与 电子 证 据 检 查 规 则 ?规定 ,电子 数据 现场 勘 验 和 检查 ,应 当 由 县 
级 以 上 公安 机 关 网 络 安全 保卫 部 门 负 责 组 织 实 施 。 必 要 时 ,可 以 指派 或 者 聘请 具有 专门 知 
识 的 人 参加 ,电子 数据 勘 验 和 检查 不 得 少 于 二 人 。 期 验 现场 和 检查 时 ,应 当 邀 请 一 至 两 名 与 
案件 无 关 的 公民 做 见证 人 。 电 子 数据 现场 勘 验 和 检查 指挥 员 应 当 由 具有 计算 机 犯罪 现场 勘 
验 专 业 知 识 和 组 织 指 挥 能 力 的 人 民警 察 担任 。 重 大 特别 重大 案件 的 勘 验 和 检查 工作 ,指挥 
员 由 案 发 地 公安 机 关 负 责 人 担任 。 必 要 时 ,上 级 公安 机 关 可 以 直接 组 织 指 挥 电子 数据 现场 
勘 验 和 检查 工作 。 

根据 我 国 刑事 诉讼 法 关于 证 据 的 规定 ， 勘 验 、 检 查 .辨认 、 侦 查实 验 等 笔录 ?属于 法 定 的 
证 据 形 式 。 因 此 ,电子 数据 勘 验 和 检查 生成 的 笔录 可 以 作为 证 据 使 用 。 

电子 数据 勘 验 和 检查 按照 工作 对 象 和 环境 的 区 分 ,分 为 现场 勘 验 、 远 程 勘 验 证 物 


7.1.1 网 络 犯 罪 现 场 和 传统 犯罪 现场 的 区 别 
在 传统 犯 菲 中 犯罪 嫌疑 人 会 留 下 指 擎 纹 .足迹 .DNA .名 天 等 痕迹 和 物证 。 这 些 狗 迹 物 


证 是 侦查 办 案 的 依据 之 一 。 

在 网 络 犯罪 中 ,犯罪 嫌疑 人 使 用 计算 机 、 网 络 、 手 机 等 智能 终端 设备 时 在 虚拟 空间 中 也 
会 留 下 相关 的 犯罪 痕迹 和 侦查 线索 ,与 传统 犯罪 现场 相 比 ,遗留 的 线索 和 证 据 材料 多 是 以 电 
子 数据 的 形式 存在 。 这 些 电子 数据 容易 被 修改 或 删除 ,并 且 不 易 找 到 其 改变 的 痕迹 。 网 络 
犯罪 现场 与 传统 犯罪 现场 的 区 别 。 

1. 现场 范围 不 同 

传统 犯罪 现场 的 范围 一 般 与 犯罪 行为 的 物理 活动 范围 一 致 ,如 入 室 盗窃 、 交 通 比 事 、 杀 
人 现场 等 。 因 此 传统 犯罪 现场 的 范围 比较 好 确定 。 

网 络 犯 罪 现 场 由 于 可 能 是 一 台 计 算 机 .一 台 手 机 ,一 个 局 域 网 甚至 一 个 大 型 网 络 , 可 能 
会 涉及 多 个 地 域 。 犯 罪 嫌疑 人 的 物理 活动 范围 和 涉案 电子 设备 的 物理 地 址 有 可 能 是 分 离 
的 ,比如 嫌疑 人 在 国内 ,网 络 赌 博 、 网 络 色 情 的 服务 器 托管 地 在 国外 的 情况 。 
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加 ”由 于 网 络 环境 的 虚拟 性 ,有 理论 认为 远程 勘 验 是 一 种 特殊 的 现场 勘 验 形式 ， 
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2. 勘 验 检查 主体 不 同 

传统 犯罪 现场 勘查 的 人 员 ,一 般 由 刑侦 部 门 指挥 员 、 侦 查 人 员 、 刑 事 技术 人 员 和 发 案 地 
区 民警 .巡警 或 单位 内 保 人 员 组 成 。 

网 络 犯 罪 现 场 勘 验 的 人 员 ,按照 案件 分 工 和 管辖 不 同 , 由 网 安 部 门 指挥 员 .电子 数 据 勘 
验 人 员 和 具有 网 络 技术 特长 的 专家 组 成 ,其 他 警 种 部 门 为 辅 。 

随 着 电子 数据 越 来 越 多 的 在 传统 犯罪 现场 出 现 , 传 统 犯 罪 现 场 和 网 络 犯 罪 现 场 对 于 电 
子 数据 的 需求 基本 统一 ,电子 数据 已 经 成 为 重要 的 线索 和 证 据 来 源 。 因 此 ,任何 类 型 的 犯罪 
现场 ,可 能 都 会 进行 电子 数据 勘 验 和 检查 。 其 参与 的 部 门 会 包括 网 安 部 门 .刑侦 部 门 和 其 他 
业务 警 种 部 门 。 


7.1.2 电子 数据 勘 验 检查 和 鉴定 检验 的 联系 和 区 别 


电子 数据 勘 验 检 查 和 鉴定 检验 是 侦查 办 案 不 可 或 缺 的 重要 手段 ,是 公安 机 关 打 击 各 种 
犯罪 活动 ,侦破 各 种 案件 的 线索 和 证 据 来 源 。 电 子 数据 勘 验 检 查 和 鉴定 检验 具备 以 下 共 
同 点 : 

(1) 二 者 的 法 律 地 位 相同 ,都 是 法 律 认 可 的 诉讼 证 据 。 根 据 《 中 华人 民 共 和 国 刑事 诉讼 
法 关于“ 证据 ”的 规定 :“ 勘 验 笔录 ”和 “鉴定 意见 ”具备 相同 的 证 据 效 力 。 重 “鉴定 意见 ”、 
轻 “ 勘 验 笔录 ”的 倾向 是 不 可 取 的 ,因为 现场 勘 验 不 但 可 以 获得 第 一 手 的 线索 利于 侦破 ,更 会 
固定 最 有 价值 的 证 据 以 利于 法 律 诉 讼 。 

(2) 二 者 同样 遵循 物质 交换 (转移 ) 原 理 2。 电 子 数据 勘 验 检 查 和 鉴定 检验 使 用 的 技术 
和 原理 与 鉴定 检验 基本 一 致 ,都 是 电子 数据 取证 技术 。 

电子 数据 勘 验 检查 和 鉴定 检验 在 证 据 效力 和 技术 的 同一 性 ,使 得 我 国 的 执法 部 门 出 现 
这 样 的 现象 : 具备 专门 电子 数据 取证 技术 的 人 员 数 量 较 少 , 一 般 由 隶属 于 一 个 部 门 , 因 此 他 
们 参与 到 整个 案件 侦破 活动 中 。 即 参加 到 侦查 活动 中 ,又 从 事 鉴定 和 检验 工作 。 这 就 是 所 
谓 的 “ 自 勘 自 鉴 "“ 自 鉴 自 侦 ?”。 这 不 但 违反 了 相关 执法 程序 ,还 不 可 避免 的 影响 到 司法 公 
正 。 应 当 明 确 电 子 数据 勘 验 检查 和 鉴定 检验 芯 

1. 二 者 的 任务 不 同 

从 实践 角度 讲 , 电 子 数据 勘 验 和 检查 倾向 于 为 侦查 服务 ,而 鉴定 检验 倾向 于 为 诉讼 服 
务 。 电 子 数据 勘 验 检查 多 应 用 于 刑事 案件 ; 鉴定 检验 多 应 用 于 刑事 诉讼 ,行政 诉讼 和 民事 
诉讼 。 

2. 一 者 的 实施 主体 不 同 

现场 勘 验 法 定 主体 是 侦查 机 关 的 技术 人 员 。 刑 事 诉讼 法 第 一 百 二 十 六 条 规定 :“ 侦 查 
人 员 对 于 与 犯罪 有 关 的 场所 物品、 人 身 、 尸 体 应 当 进 行 勘 验 或 者 检查 。 在 必要 的 时 候 , 可 以 


@ 《中 华人 民 共 和 国 刑事 诉讼 法 ) 第 一 编 第 五 章 " 证 据 ”。 
加 ” 阁 卡 德 交 换 ( 转 移 ) 原 理 (Locard Exchange Principle) 。 
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指派 或 者 聘请 具有 专门 知识 的 人 ,在 侦查 人 员 的 主持 下 进行 勘 验 、 检 查 。” 此 条 于 明确 规定 了 
甚 验 检查 的 主体 是 俩 查 人 员 。 由 于 电子 数据 勘 验 检查 的 拉 术 性 ,从 事 电 子 数 据 勘 验 取 证 的 
侦查 人 员 一 般 是 具备 电子 数据 取证 专业 知识 和 技能 的 技术 人 员 呈 。 其 他 人 员 不 具有 独立 从 
事 犯 罪 现 场 勘 验 的 主体 资格 。 

鉴定 检验 的 主体 是 鉴定 人 或 检验 人 ,鉴定 人 应 汝 具备“ 独立、 公正” 的 地 位 ,是 由 取得 鉴 
定 贤 质 认 害 的 技术 人 员 担 任 , 不 应 当 参 与 到 侦查 活动 中 , 即 具有 鉴定 资格 而 不 圣 有 俱 查 权 
( 勤 验 权 ) 的 技术 人 员 。 检 验 人 参考 鉴定 人 管理 。 

3. 二 看 的 工作 对 过 和 目的 不 同 

项 验 检 查 的 对 象 主要 为 现场 存留 的 电子 议 备 和 数据 ,这 些 数据 具有 斜 活 、 丰 下 的 犯罪 信 
县 和 证 据 。 时 间 了 要求 比 较 局 ,有 要求 通过 蔓 验 检查 可 以 迅速 有 将 的 提取 出 这 些 信息 ,分析 出线 
系 ,为 守 件 侦查 捉 供 方 癌 ,做 到 “和 葛 侦 合 一 ”, 提 局 侦查 效率 ,缩短 侦破 过 程 。 鉴 定 检验 的 时 获 
要 求 不 像 勘 验 检查 那么 急 旭 。 鉴 定 检验 是 为 了 查 明 季 情 、 解 决 条 件 中 专门 的 问题 , 面 对 的 是 
封存 的 电子 设备 和 数据 ,主要 的 目的 是 形成 “证 据 链 ”, 自 要 是 公正 性 ”的 证 明 犯 罪 事 实 , 作 
为 “第 三 方 ” 提 取证 据 , 为 案件 侦查 和 法 律 诉 讼 服务 。 


7.1.3 电子 数据 勘 验 和 检查 的 原则 


由 于 电子 数据 具备 “虚拟 性 ”“ 吻 失 性 ”等 特点 。 在 勘 验 和 检查 时 ,应 当 尊 循 以 下 原则 : 

1. 合法 性 原则 

勘 验 和 检查 是 侦查 过 程 的 一 个 关键 过 程 , 是 司法 实践 中 的 重要 环节 ,必须 依法 开展 。 勘 
验 和 检查 ,必须 是 得 到 合法 授权 和 许可 的 前 提 下 进行 。 整 个 勘 验 和 检查 过 程 必须 是 受到 监 
督 的 。 勘 验 和 检查 必须 严格 依照 法 律 法 规 和 相关 规定 执行 ,坚决 杜绝 “ 重 结 果 ”“ 轻 程序 ”的 
错误 做 法 ,确保 勘 验 和 检查 的 合法 性 。 

2. 及 时 原则 

勘 验 人 员 接 到 通知 后 ,应 当 立 即 赶赴 现场 ,快速 开展 勘 验 工作 ,尽早 地 搜集 整理 证 据 , 能 
够 得 到 第 一 手 的 信息 ,及 时 全 面 地 收集 证 据 , 防 止 电子 数据 因 时 间 因 系 或 环境 变化 而 灭失 ，。 

3. 完整 性 原则 

勘 验 和 检查 的 操作 不 能 改变 或 破坏 证 据 , 尽 可 能 少 的 改变 系统 状态 ,在 不 对 原 有 系统 进 
行 任何 改动 或 损坏 的 前 提 下 提取 数据 。 必 须 保 证 “证 据 连 续 性 ”或 证 据 链 的 完整 性 , 即 在 电 
子 数 据 提交 鉴定 和 检验 时 ,必须 能 够 说 明 在 证 据 从 最 初 的 获取 状态 到 在 鉴定 和 检验 之 前 状 
态 之 加 的 任何 变化 ,当然 最 好 是 没有 任何 变化 。 

4. 客观 性 原则 

勘 验 和 检查 要 坚持 实事 求 是 的 科学 态度 ,获取 的 电子 数据 等 证 据 材 料 必 须 是 现场 客观 
存在 的 ,不 是 无 关 人 员 或 因素 影响 产生 的 ,并 且 在 勘 验 笔录 中 的 分 析 评 价 要 防止 主管 腾 断 。 


《计算 机 犯罪 现场 勘 验 与 电子 证 据 检 查 规则 》 第 六 条 。 
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收集 的 证 据 、 得 出 的 分 析 结 论 必 须 符 合 网 络 犯罪 现场 的 客观 实际 ,具有 真实 可 靠 性 。 

5. 全 面 性 原则 

勘 验 和 检查 必须 全 面 勘 验 , 防 止 漏洞 和 片面 性 。 对 案情 复杂 的 网 络 犯罪 现场 ,必要 时 可 
重复 期 验 , 以 减少 工作 中 的 失误 和 遗漏 ,做 到 该 发 现 的 一 定 要 发 现 , 该 提取 的 一 定 要 提取 。 
不 仅 要 收集 直接 证 据 还 要 收集 间接 证 据 , 保 证据 材料 相互 印证 ,而 且 还 要 应 当 收 集 证 明 犯 罪 
嫌疑 人 有 罪 或 者 无 罪 的 各 种 证 据 ,确保 准确 认定 犯罪 事实 ,不 枉 不 纵 。 


7.2 电子 数据 现场 勘 验 


传统 案件 ,现场 勘 验 的 目标 主要 是 痕迹 物证 ,例如 血液 .足迹 、 指 掌 纹 等 。 随 着 电子 设备 
的 普及 使 用 ,犯罪 现场 的 电子 数据 成 为 现场 勘 验 的 新 的 日 标 , 也 成 为 线索 和 证 据 的 一 大 

电子 数据 现场 勘 验 ,是 指 在 犯罪 现场 实施 勘 验 ,以 提取 、 固 定 现场 存留 的 与 犯罪 有 关 的 
电子 数据 .电子 设备 .传统 证 物 和 其 他 信息 。 

电子 数据 现场 勘 验 中 , 勘 验 人 员 面 对 的 是 动态 、 易 失 的 证 据 。 操 作 不 慎 就 会 导致 证 据 的 
丢失 损坏。 所 以 ,现场 勘 验 必须 要 精心 做 好 准备 工作 , 严 说 认真 的 获取 证 据 , 安 全 可 菲 的 保 
存 证 据 。 以 利于 下 一 步 的 侦查 和 鉴定 检验 工作 的 开展 。 


7.2.1 电子 数据 现场 勘 验 的 任务 及 组 织 


公安 机 关 受 和 后 ,第 一 要 务 是 判明 案 ( 事 ) 件 的 性 质 , 在 条 件 现场 发 现 . 获取 的 信息 属于 
第 一 手 黄 料 ,通过 电子 数据 现场 勘 验 发 现 获取 的 电子 数据 对 于 判断 案件 性 质 非 常 重要 。 

电子 数据 现场 勘 验 的 任务 是 发 现 、 固 定 、 提 取 与 犯罪 有 关 的 电子 数据 及 其 他 信息 ,记录 
现场 情况 ,判断 和 案件 性 质 , 分 析 犯 罪过 程 ,确定 侦查 方 品 和 范围 ,为 侦查 破案 、 和 案件 诉讼 提供 
线索 和 证 据 。 

公安 机 关 受 理 案 件 或 发 现 涉案 现场 后 ,应 立即 核实 情况 。 在 现场 核实 情况 时 ,应 注意 不 
可 随便 进入 现场 。 育 目 进 入 现场 ,会 导致 对 现场 的 一 定 程度 的 破坏 。 尤 其 是 网 络 犯罪 现场 ， 
涉 条 电子 设备 如 来 仍然 联网 ,可 能 随时 改变 介 奈 中 的 数据 等 证 据 , 任 何不 必要 的 操作 和 延误 
部 会 向来 无 可 挽回 的 损失 。 根 据 公 安 机 关 的 有 关 规 定 , 发 条 地 公安 部 门 应 当 受 善 保护 犯罪 
现场 和 证 据 , 控 制 犯罪 嫌疑 人 ,并 立即 报告 公安 机 关 主 管 部 门 。 主 管 部 门 根据 案件 现场 的 实 
际 情况 ,确定 现场 勘 验 的 主体 和 工作 顺序 。 例 如 现场 足迹 、 血 液 、 指 纹 等 易 被 破坏 的 物理 信 
县 一 般 首 和 抑 申 刑事 现场 副 验 人 员 扣 取 , 电 子 数 据 随后 由 网 安 现 场 副 验 人 员 扣 取 。 执 行 勤 验 
的 技术 人 员 接 到 通知 后 ,应 当 立 即 赶赴 现场 。 


7.2.2 电子 数据 现场 勘 验 的 流程 
根据 各 国 警方 多 年 的 实践 经 验 , 目 前 公认 的 电子 数据 现场 勘 验 主要 包含 以 下 阶段 : 
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。 期 验 准备 。 
保护 现场 。 
。 搜查 证 物 。 
提取 和 固定 数据 。 
证 物 的 运输 和 移交 。 

1. 勘 验 准备 

勘 验 准备 是 进入 现场 之 前 ,对 现场 的 环境 进行 分 析 , 提 前 设置 预案 ,指定 勘 验 策略 。 同 
时 指定 勘 验 人 员 和 配备 专业 设备 ,为 顺利 完成 现场 勘 验 打 好 基础 。 勘 验 准备 要 求 在 最 短 的 
时 间 内 完成 ,要 考虑 现场 出 现 的 多 种 情况 ,预案 越 完善 越 好 。 勘 验 准 备 主要 分 以 下 几 个 
部 分 : 

(1) 了 解 现场 情况 

在 准备 勘 验 时 , 勘 验 部 门 必 须 做 到 对 案 ( 事 ) 件 情况 和 犯罪 现场 的 充分 了 解 , 这 才 可 以 保 
证 勘 验 人 员 配 备 相 应 的 工具 和 设备 去 进行 勘 验 。 对 案 ( 事 ) 件 情况 和 现场 布局 了 解 的 越 清 
楚 ,现场 勘 验 准 备 工 作 就 做 得 越 好 。 侦 办 部 门 应 当 派 中 了 解 案 ( 事 ) 件 情况 的 人 员 与 勘 验 部 
1 却 分 沟通 ,不 全 责任 的 敷衍 或 者 以 保密 为 由 隐瞒 条 ( 事 ) 件 情况 只 会 导致 现场 勘 验 的 效果 
大 打折 扣 甚 至 无 法 提供 有 效 的 线索 和 证 据 。 

了 解 现场 情况 时 ,要 重点 获取 以 下 信息 : 

。 案 ( 事 ) 件 类 型 和 基本 情况 。 

。 嫌疑 人 基本 情况 。 
网 络 拓扑 情况 。 勘 验 目 标 是 单机 、LAN 还 是 WAN, 网 络 集中 在 一 个 区 域内 ,还 是 在 
多 个 区 域内 。 
设备 的 持 有 人 和 使 用 人 情况 。 
设备 的 类 型 .数量 和 基本 人 情况。 是 计算 机 、 笔 记 本 还 是 智能 终端 ,设备 的 存放 位 置 。 
设备 是 开机 状态 还 是 关机 状态 。 
操作 系统 .访问 口令 和 取证 目标 数据 。 例 如 经 济 类 案件 侧重 提取 文档 和 账目 .人 侵 
类 案件 侧重 提取 恶意 代码 和 木马 等 。 

。 是 否 加 密 ,或 者 试图 作 未 经 授权 的 访问 ,是 否 会 损毁 信息 。 

如 果 案 ( 事 ) 件 现场 情况 不 其 明确 或 者 情况 紧急 ,就 需要 到 现场 进行 现场 情况 的 评估 。 

(2) 制定 勘 验 案 略 

在 平时 的 培训 中 主要 注意 根据 不 同 现场 制定 不 同 的 预案 。 在 现场 勘 验 之 前 ,根据 实现 
准备 好 的 预案 选择 适合 的 勘 验 策略 ,并 实时 根据 实际 情况 进行 修正 ,没有 一 个 可 以 适用 于 所 
有 案件 的 勘 验 策 略 。 例 如 黑客 攻击 和 开设 色情 网 站 的 勘 验 宁 略 规 然 不 同 , 而 Windows 操作 
系统 的 其 验 策略 和 Linux 系统 的 勘 验 策略 也 不 会 一 致 。 勘 验 策略 直接 决定 着 勤 验 过 程 和 黄 
验 结 果 。 勘 验 策 略 包 含 现场 可 能 过 到 的 证 据 类 型 ,证 据 检查 顺序 、 人 处理 突 发 事件 的 方案 等 。 
勘 验 策略 非常 重要 ,可 以 完整 迅速 地 获取 线索 和 证 据 。 
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(3) 配备 勘 验 人 员 
根据 勘 验 策略 确定 进入 现场 的 人 员 数 量 和 人 能力, 现场 勘 验 人 员 应 当 具 备 现场 勘 验 的 专 
业 知 识 和 技能 ,确信 进入 现场 人 员 都 了 解 证 据 的 类 型 以 及 处 理 方法 ,防止 有 人 因为 有 意 或 者 
无 意 的 操作 破坏 证 据 , 例 如 育 目 移动 ,开关 计算 机 系统 设备 而 导致 计算 机 内 存储 存 的 数据 
2 
现场 勘 验 人 员 一 般 由 指挥 员 、 电 子 数据 提取 人 员 、 记 录 员 、 摄 像 / 照 相 员 组 成 ,必要 时 可 
以 邀请 相关 专业 人 员 参 加 ,现场 勘 验 由 指挥 员 统 一 指挥 《计算 机 犯罪 现场 勘 验 与 电子 证 据 
检查 规则 ;规定 ,对 计算 机 犯罪 现场 进行 勘 验 不 得 少 于 二 人 。 现 场 勘 验 必须 一 至 两 名 与 案件 
无 关公 民 做 见证 人 ,公安 司法 人 员 不 能 充当 见证 人 。 
(4) 法 律 授 权 
现场 勘 验 必须 受到 法 律 的 授权 ,除了 勘 验 笔录 ,应 当 携 市 符合 规定 的 必要 法 律 文书 ,如 
搜查 和 扣押 法 律 手续 。 作 为 一 个 执法 人 员 ,其 行动 获得 法 律 的 承认 和 保护 是 必须 要 的 。 
(5) 配备 勘 验 工具 
根据 勘 验 策略 配备 现场 勘 验 设备 、 各 种 接口 .拆卸 工具 .证 据 标 签 、. 封 条 、 照 相机、 摄像 机 
等 。 现 场 勘 验 工具 应 该 适应 现场 情况 ,并 尽量 做 到 备份 。 以 防止 设备 故障 导致 勤 验 中 断 。 
现场 勘 验 设备 一 般 巾 便携 式 介 质 取 证 设备 . 镶 能 终端 取证 设备 、 便 携 式 高 速 复 制 设 备 、 不 拆 
机 硬盘 复制 工具 、 勘 验 工 具 等 组 成 。 
。 便携 式 介 质 取 证 设备 。 配 备 各 种 存储 介质 只 读 接 口 ,方便 地 将 目标 介质 或 复制 盘 进 
行 快 速 取证 和 分 析 , 同 时 保证 目标 介质 不 被 筑 改 ,以 保证 勘 验 过 程 的 司法 有 效 性 。 
。 智能 终端 取证 设备 和 电子 信号 屏蔽 设备 。 能 够 对 手机 等 智能 终端 机 和 号 存储 、SIM 
卡 、 存储 卡 等 设备 和 介质 进行 识别 发现 和 提取 其 中 的 电子 数据 证 据 , 文 持 
Android\iOS、WM Symbian 等 主流 智能 终端 操作 系统 以 及 山寨 手机 。 
。 便携 式 高 速 复制 设备 。 能 够 将 存储 介质 中 的 数据 逐 比 特 位 进行 镜像 。 对 不 能 停止 
运行 的 系统 ,不 拆 机 硬盘 复制 工具 能 在 短 时 间 内 完成 对 现场 数据 的 备份 工作 。 
。 勘 验 工具 包括 拆 缉 维修 工具 。 如 螺丝 刀 、 钳 子 、 手 电 、 后 备 电 源 、 物 证 从、 人 硬盘 专用 
上 述 设 备 可 以 集成 在 一 个 勘 验 取证 箱 中 以 便于 携带 ,也 可 以 集成 到 现场 勘 验 车 上 以 方 
便 现场 勘 验 ，。 
2. 保护 现场 
在 准备 工作 做 好 后 ,电子 数据 现场 勘 验 人 员 就 可 以 进入 现场 ,开始 现场 勘 验 工作 。 首 先 
要 进行 现场 的 保护 和 确认 工作 。 
(1) 现场 的 确定 
在 前 期 了 解 的 情况 基础 上 ,通过 对 知情 人 的 询问 ,讯问 走访 和 调查 ,设法 获取 现场 尽 可 
能 多 的 信息 ,迅速 确定 案 发 范围 。 如 计算 机 及 外 设 的 数量 和 类 型 操作 系统 类 型 .网 络 拓扑 、 
使 用 人 等 。 网 络 犯罪 具有 其 特殊 性 ,其 犯罪 现场 一 般 是 由 其 犯罪 结果 显现 的 计算 机 或 被 侵 
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害 的 对 象 犯 罪 所 决定 的 。 不 仪 存在 于 物理 空间 内 ,还 包括 虚拟 空间 。 有 了 时候 犯罪 的 范围 可 
以 延伸 到 整个 互联 网 ,例如 DDOS 攻击 事件 。 除 了 通过 受害 人 受害 单位 确定 网 络 犯罪 现 
场 , 还 有 要求 证人、 犯罪 嫌疑 人 配合 协作 。 现 场 的 确定 可 以 通过 以 下 几 种 方式 迅速 确定 : 


[1 


三 


被 害 人 、 犯 菲 嫌疑 人 居住 .停留 的 现场 。 例 如 被 害 人 的 住所 ,犯罪 嫌疑 人 租用 的 
房间 。 


”调查 走访 确定 的 现场 。 例 如 :; 网 络 犯 罪案 件 是 内 部 人 员 作 和 案 。 通 过 调查 走访 ,使 用 


由 案 到 人 ,再 由 人 到 案 的 侦查 思路 最 后 确定 实施 犯罪 的 现场 。 


伪 闪 的 现场 。 为 了 逃避 打击 ,嫌疑 人 往往 会 使 用 一 些 伪 闪 手段。 现场 苇 验 时 要 注意 


查看 网 络 电缆、 电源 等 线路 的 连接 走向 ,查看 是 否 有 通过 这 些 线路 连接 到 其 他 地 理 
位 置 (比如 房屋 中 隐蔽 的 角落 或 者 隔壁 的 房屋 ) 。 现 场 勘 验 时 要 注意 查看 是 否 有 无 
线 局 域 网 或 其 他 无 线 网 络 连 接 方式 ,如 果 有 则 必须 了 解 这 些 无 线 连接 方式 可 能 覆盖 
的 范围 以 及 可 能 通过 无 线 网 络 接 入 该 目标 网 络 的 主机 情况 和 人 员 情 况 。 必 要 情况 
下 要 搜查 可 能 通过 无 线 局 域 网 络 接 人 到 该 目标 网 络 的 主机 。 例 如 : 在 某 地 发 生 的 
网 络 赌博 案件 ,侦查 人 员 顺 线 追 踪 到 运行 网 络 赌博 软件 的 服务 器 时 , 却 发 现 犯罪 嫌 
疑 人 没有 在 该 房间 内 ,而 是 通过 WiFi, 在 对 面 的 楼 房 内 操纵 网 络 赌场 。 


通过 作案 工具 确定 网 络 犯 非 现场 。 例 如 : 在 网 络 攻击 索 件 中 ,通过 稚 获 的 嫌疑 人 使 


用 的 数据 包 或 痢 通过 分 析 嫌 疑 人 使 用 攻击 工具 的 情况 ,了 解 其 发 动 攻 击 指令 的 了 
地 址 从 而 确定 实施 犯罪 现场 。 


犯罪 现场 的 确认 对 于 确定 电子 数据 勘 验 的 犯罪 有 着 非常 重要 的 作用 ,直接 决定 了 电子 
数据 获取 的 完整 性 和 有 效 性 ,指挥 员 与 勘 验 员 应 当 仔 细 判 断 。 

(2) 现场 的 保护 

在 现场 确定 后 ,应当 迅 速 进入 现场 ,对 现场 进行 保护 ,防止 犯罪 嫌疑 人 、 侦 查 人 员 故 意 或 
无 意 破 坏 现 场 的 证 据 , 如 图 7.1 和 图 7.2 所 示 。 划 定 保护 区 域 , 封 锁 整 个 计算 机 区 域 , 包 
括 通 信 线 路 和 供电 区 域 。 开 始 划 定 保护 范围 时 ,应 适当 扩大 现场 保护 范围 , 划 出 警戒 线 ， 
安排 人 员 监视 。 


图 7.1 某 现场 犯罪 嫌疑 人 故意 损毁 的 笔记 本 计算 机 
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图 7.2 茶 现场 犯罪 嫌疑 人 故意 损 毁 的 硬盘 


勘 验 人 员 应 该 迅速 确定 现场 网 络 环境 (路 由 器 、 服 务 器 的 位 置 , 是 否 有 无 线 网 络 ) ,除非 
是 确定 需要 不 切断 网 络 连接 来 获取 进一步 的 犯罪 线索 ,否则 必须 迅速 果断 的 切断 网 络 , 阻 目 
犯罪 嫌疑 人 与 外 界 联系 ,同时 防止 远程 破坏 证 据 。 

确保 现场 人 员 与 警方 合作 ,严禁 继续 操作 计算 机 设备 。 确 认 犯 罪 嫌疑 人 并 带 离 现场 , 严 
密 检 查 随 身 携带 物品 ,尤其 是 电子 设备 如 闪存 盘 、PDA ,移动 电话 等 ,对 其 扣押 并 登记 ,记录 
所 有 人 的 位 置 和 工作 状态 。 随 后 有 秩序 地 让 其 他 人 员 撤 离 现 场 ,禁止 任何 无 关 人 员 进 入 

(3) 维持 现场 状态 

所 有 的 电子 设备 都 需要 电源 才能 正常 运转 。 大 型 的 网 络 环境 需要 专人 看 管 供 电 设施 ， 
防止 人 为 断 电 ,笔记 本 和 手机 等 智能 终 并 在 低 电 量 时 也 需要 连接 外 接 电 源 维持 正常 运 行 。 
嫌疑 人 可 能 通过 切断 电源 的 方式 破坏 数据 ,在 现场 勘 验 时 要 将 嫌疑 人 控制 在 不 可 能 接触 任 
何 电源 开关 的 区 域 。 

如 果 电 子 设 备 ( 包 括 计算 机 、 手 机 打印机、 传真 设备 等 ) 已 经 关闭 ,不 要 打开 该 电子 设 
备 ; 电子 设备 已 经 打开 ,不 要 关闭 该 电子 设备 。 

计算 机 在 长 期 不 使 用 的 情况 下 ,显示 硕 可 能 处 在 节 电 模式 (黑屏 状态 ) ,或 者 用 户 可 能 临 
时 关闭 显示 需 , 而 计算 机 却 正 在 运行 之 中 。 在 现场 勘 验 时 确认 计算 机 是 否 正 处 于 运行 状态 。 
首先 观察 显示 器 电源 是 否 打 开 ,如果 没 有 打开 ,打开 显示 器 电源 。 如 果 屏 人 幕 处 在 黑屏 状态 ， 
移动 鼠标 或 者 按 Ctrl 键 以 激活 计算 机 。 如 果 还 没有 啊 应 ,要 确认 机 箱 中 风 户 是 否 转 动 ,是 
否 还 有 其 他 的 启动 按钮 。 

(4) 保护 电子 数据 

现场 勘 验 过 程 中 要 禁止 任何 非 现场 勘 验 人 员 接 触 计算 机 、 电 源 、 网 络 设备 和 数字 化 证 据 
设备 。 必 要 情况 下 可 以 在 保密 的 前 提 下 向 在 场 人 员 索 取 登 录 口 令 .解锁 口令 ,了 解 应 用 程序 
的 功能 等 相关 信息 ,但 必须 蔡 止 在 场 人 员 直 接 操作 计算 机 。 

如 果 设 备 正在 进行 影响 数据 安全 的 动作 ,例如 操作 系统 正在 实施 整理 硬盘、 格式 化 便 
盘 、 批 量 复制 信息 、 批 量 下 载 信息 、 杀 毒 等 可 能 大 量 访问 存储 介质 的 操作 ,数码 摄像 机 正在 摄 
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像 .录音 设备 正在 录音 ,要 立即 中 止 这 些 操 作 。 

在 现场 勘 验 时 要 评估 嫌疑 人 是 否 具 备 一 定 计算 机 水 平 进行 毁灭 或 者 隐匿 证 据 。 在 现场 
勘 验 中 不 应 听从 这 类 嫌疑 人 的 建议 实施 操作 ,因为 其 提供 的 操作 方法 有 可 能 会 导致 证 据 

(5) 记录 现场 

对 整个 犯罪 现场 全 貌 进 行 招 照 和 录像 ,然后 是 现场 局 部 和 细部 的 记录 。 局 部 和 细部 记 
录 需 要 注意 计算 机 的 开关 机 状态 、. 屏 大 显示 的 重要 内 容 、 外接 设 备 情 况 、 网络 连接 情况 .一 些 
特殊 性 序列 号 和 标志 。 

在 提 摄 过 程 中 应 该 保持 系统 各 种 电 顷 的 连接 。 在 某 些 情况 下 需要 上 断 开 电源 再 进行 担 
摄 ,并 记录 下 当时 设备 的 状态 (开关 状态 、. 屏 攻 状 态 等 ), 同 时 绘制 犯 菲 现场 图 、 网络 拓扑 图 ， 
为 今后 模拟 和 犯罪 现场 还 原 提 供 直 接 依 据 。 

(6) 进行 初步 调查 访问 

侦查 人 员 在 执行 保护 现场 任务 的 同时 ,应 当 配 合 勤 验 人 员 , 充 分 利用 案件 知情 人 、 报 案 
人 人、 现场 发现 人 对 案件 情况 记忆 和 犹 新 的 有 利 条 件 ,进行 词 问 ,了 解 情 次 。 由 于 一 部 分 网 络 犯 
罪案 件 是 内 部 人 员 作 案 , 询 问 时 应 注意 方式 方法 。 

3. 搜查 证 物 

搜查 证 物 的 目的 是 发 现 所 有 可 能 与 案 ( 事 ) 件 相关 的 设备 。 除 电子 设备 , (例如 计算 机 
外 ) 还 包括 各 种 存储 设备 、 日 志 、 访 问 记 录 、 监 控 录 像 、 书 证 (包括 证 人 证 言 )。 在 搜查 证 物 时 
要 回 系 统管 理 人 员 询 问 各 个 存储 介质 是 否 有 相应 的 备份 系统 。 在 案 发 时 到 勘 验 人 员 到 达 现 
场 过 程 中 是 否 更 新 过 系统 中 的 硬件 (比如 更 换 硬 盘 ) ,要 注意 追查 原 有 硬件 设备 的 去 向 。 勘 
验 人 员 应 该 对 现场 情况 提 照 .摄像 存档 待 查 、 同 时 对 现场 发 现 的 证 据 记 录 、 封 存 。 

(1) 搜查 电子 数据 存储 设备 

由 于 存储 设备 体积 可 能 很 小 ,嫌疑 人 身上 (比如 衣服 、 包 中 ) 可 能 携带 有 重要 的 存储 设备 
(比如 存储 卡 等 ) ,在 控制 现场 时 要 优先 搜查 嫌疑 人 号 上 携 市 的 设备 ,防止 嫌疑 人 隐匿 或 者 破 

搜查 所 有 可 能 存储 有 电子 数据 的 设备 ,一 般 包括 (不 限于 ) 计 算 机 、 移 动 存储 介质 包括 优 
(U) 盘 .移动 硬盘 .ZIP 盘 、 软 盘 、 光 盘 、 存 储 卡 (如 SD 卡 、.CF 卡 、. 记 忆 棒 等 ) 手机、 备份 磁带 、 
数码 相机 .数码 摄像 机 、 数 码 录 音 笔 .GPS .和 镶 能 卡 、 磁 卡 等 。 

(2) 搜查 附属 设备 

电子 设备 往往 包括 连接 线 、 外 接 设 备 。 搜 查 电 子 设备 时 必须 收集 这 类 附属 设备 。 例 如 
发 现 特殊 的 存储 介质 (如 特殊 的 存储 卡 ) ,要 注意 搜查 该 存储 介质 的 读 写 设备 。 反 之 ,如 果 发 
现存 储 介 质 的 读 写 设备 (比如 存储 卡 或 令 能 卡 读 写 如 数字 录音 设备 等 ) ,要 注意 搜查 与 该 读 
写 设 备 相 关 的 存储 设备 。 

(3) 其 他 证 据 的 搜查 

调查 中 要 注意 搜查 妮 


疑 人 使 用 的 笔记 本 、 纸 张 等 记录 信息 ,嫌疑 人 可 能 会 将 账号 .口令 、 
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联系 人 信息 等 与 案件 相关 的 信息 记录 在 这 些 地 方 。 

4. 提取 和 固定 数据 

电子 数据 现场 勘 验 提取 和 固定 数据 时 ,要 遵循 先 提取 ,上 青 固 定 的 顺序 。 电 子 设备 可 能 被 
用 作 犯 罪 工 具 ,作为 犯罪 目标 或 是 赃物 ,或 者 是 电子 设备 内 含有 大 量 与 案件 相关 的 信息 ,就 
需要 提取 数据 作为 检 材 。 

1) 提取 数据 

如 果 在 案件 中 电子 数据 可 能 是 用 于 证 明 犯 罪 的 证 据 ,或 者 电子 数据 是 非法 占有 的 ,这 时 
候 提取 的 焦点 是 电子 设备 内 的 电子 数据 ,而 不 是 人 硬件 本 身 。 提 取 电 子 数 据 通常 有 两 种 选择 : 
复制 全 盘 或 者 是 仅仅 复制 需要 的 电子 信息 。 选 择 哪 种 方式 主要 根据 案 ( 事 ) 件 情况 和 侦查 需 
要 决定 。 

现场 可 以 提取 的 电子 数据 分 为 动态 和 静态 两 种 。 动 态 的 称 为 易 失 性 数据 , 易 失 性 数据 
指 当 前 计算 机 系统 中 正在 运行 的 或 者 驻 留 在 内 存 中 ,一 且 关 闭 电 源 就 会 丢失 的 证 据 。 易 失 
性 数据 包含 了 大 量 对 于 案件 侦破 有 玫 助 的 信息 ,应 该 在 保证 不 破坏 便 盘 原 有 数据 完整 性 的 
前 提 下 提取 ,这 一 过 程 称 为 匈 失 性 数据 提取 。 毅 态 数 据 指 的 是 在 电源 关闭 时 保存 在 磁 介 质 
上 或 者 电介质 数据 ,通常 这 类 数据 包含 有 各 种 信息 ,通常 采取 位 对 位 复制 的 方式 来 镜像 保 
存 , 以 防止 数据 被 修改 。 如 果 计 算 机 处 于 开机 状态 ,应 该 先 提取 易 失 性 数据 。 

多 失 性 数据 从 字面 意思 理解 是 指 取 证 过 程 中 容易 灭失 的 证 据 。 在 电子 数据 取证 中 ,在 
便 盘 .光盘 等 永久 存储 介质 中 以 文件 形式 存在 的 数据 能 够 保存 较 长 的 时 间 ,在 系统 内 存 中 和 暂 
存 的 数据 是 动态 变化 的 ,在 系统 关机 后 消失 ,难以 提取 ,因此 容易 灭失 。 易 失 性 数据 往往 包 
括 计 算 机 系统 运行 期 间 , 与 系统 运行 及 登录 用 户 相 关 的 当前 系统 状态 信息 ,和 常见 的 易 失 性 数 
据 包 括 : 系统 时 间 、 当 前 登录 用 户 、 网 络 连 接 状 态 、 系 统 运 行进 程 、 系 统 服 务 及 驱动 信息 和 共 
享 信息 等 。 

如 果 计 算 机 处 于 开机 状态 ,计算 机 开机 时 的 屏 锻 显示 的 内 容 \ 正 在 运行 的 程序 、 正 在 编 
辑 的 文档 、 内 存 中 的 数据 (包括 进程 .已 加 载 的 服务 和 驱动 等 )、 缓 存 中 的 数据 、 登 录 信 息 、 网 
络 信 息 ( 包 括 网 络 连 接 状 态 、 正 在 浏览 的 网 页 、 网 络 共 享 、 即 时 聊天 等 社交 软件 的 内 容 和 状 
态 )、 系统 时 间 .日 期 和 时 区 信息 等 这 些 都 是 非常 有 价值 的 数据 ,应 收集 固定 。 这 些 数 据 汇 
总 ,可 见 数据 一 般 采 用 拍照 或 者 录像 方式 提取 ,不 可 见 数据 使 用 在 线 提取 工具 提取 。 

匈 失 性 数据 提取 流程 : 

提取 易 失 性 信息 要 求 快 速 准确 ,防止 操作 时 间 过 长 信息 发 生 改 变 , 同 时 应 注意 避免 误 操 
作 导 致 证 据 损 坏 。 应 提前 准备 好 工具 ,制定 提取 顺序 ，。 

(1) 提取 时 间 信 息 

时 间 是 取证 的 基准 。 在 任何 情况 下 ,对 于 任何 有 内 置 时 钟 的 设备 ,都 必须 记录 该 设备 当 
前 时 间 、 时 区 设置 以 及 系统 时 间 与 北京 时 间 的 误差 。 尤 为 重要 的 是 ,需要 在 进入 现场 和 退出 
现场 时 两 次 提取 时 间 人 信息, 以 防止 整个 勘 验 过 程 影响 时 间 信 息 。 

在 计算 机 系统 中 ,有 相应 的 便 件 部 件 ,负责 维护 系统 的 日 期 和 时 间 ,一 般 的 计算 机 系统 
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是 CMOS 里 的 时 钟 , 系 统 关 机 后 该 时 钟 依 然 运 行 ,由 系统 的 主板 电池 为 其 供电 。 基 于 主板 
石英 晶体 振荡 器 频率 工作 ,在 启动 系统 后 ,系统 从 该 时 钟 读 取 时 间 信 息 , 之 后 独立 运行 。 

QO 系统 BIOS 时 间 的 查看 方式 。 进 入 BIOS 的 方法 根据 不 同 的 BIOS 类 型 而 不 同 ( 如 
表 7.1 所 示 ) ,一 般 根据 开机 时 提示 操作 如 图 7. 3 所 示 AwardBIOS 即 可 。 


表 7.1 BIOS 进入 方法 


BIOS 类 型 快 捷 键 
Award DEL 
AMI DEL 或 ESC 
Phoenix F2 


图 7.3 Award BIOS 时 间 


@ Windows 系统 运行 状态 下 查看 时 间 的 方式 。 在 右 下 角 双 击 “ 时 间 ”, 在 图 7.4 所 示 ， 
其 中 “时 间 和 日 期 ”就 是 当前 的 时 间 ,“ 时 区 ”就 是 系统 设置 的 所 在 国家 地 区 ,“Internet 时 间 ” 
就 是 网 络 时 间 ,可 以 与 网 络 时 间 同 步 。 

@ 命令 行 下 查看 时 间 。 在 Windows 和 Linux 系统 中 ,可 以 利用 “DATE[/T | date] 和 
TIMEL/T | time]” 命 令 行 查看 时 间 。 

(2) 提取 屏幕 信息 

原则 上 不 允许 使 用 截屏 工具 和 屏幕 录像 工具 对 屏幕 信息 进行 获取 ,因为 会 破坏 原 有 信 
息 。 必 须 使 用 数码 或 光学 照相 机 逐 项 拍摄 屏幕 上 显示 的 内 容 。 

拍摄 的 照片 必须 能 够 清晰 显示 重要 的 证 据 信 息 。 比 如 用 户 正在 使 用 的 聊天 软件 上 显示 
的 账号 和 聊天 窗口 .用户 正在 浏览 的 页 面 以 及 该 页 面 上 显示 的 账号 信息 等 。 如 果 应 用 程序 的 
当前 配置 信息 在 关闭 计算 机 后 会 丢失 , 则 应 该 打开 相应 的 配置 页 面 ,拍摄 显示 的 配置 信息 。 

(3) 重要 信息 的 提取 

系统 或 者 应 用 程序 在 当前 内 存 中 可 能 保留 有 重要 的 证 据 , 比 如 IE 使 用 的 内 存 中 可 能 保 
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B 9 10 


15 18 17 
2 23 4 
29 30 31 


当前 时 区 : 中 国标 准时 间 


图 7.4 系统 时 间 设 置 


存 有 用 户 刚 访问 过 的 页 面 、 账 号 和 口令 ; 即时 通信 软件 占用 的 内 存 中 可 能 保存 有 用 户 使 用 
的 账号 、 刚 刚 聊天 的 内 容 ; 打印 程序 中 可 能 包含 有 用 户 刚 打印 的 信息 等 。 而 在 关闭 计算 机 
后 ,这 些 信息 将 会 于 失 。 在 不 影响 数 据 完整 性 的 前 提 下 ,可 以 提取 此 类 数据 。 常 用 易 失 性 信 
县 提取 命令 列表 见 表 7.2, 工 具 见 表 7. 3。 


表 7.2 常用 的 Windows 易 失 性 信息 提取 命令 
系统 时 间 系统 内 四 
用 户 登 录 信息 Sysinternals 
用 户 隧 记 系统 内 四 
最 后 登录 信息 Foundstone 
当前 会 话 网 络 连 接 系统 内 填 
网 络 配置 信息 系统 内 守 
当前 网 络 连 接 状 态 系统 内 守 
NetBIOS over TCP/IP Nbtstat-c; nbtstat-n; nbtstat-r 系统 内 置 
系统 进程 列表 Sysinternals 


注册 表 信 息 Reg 系统 内 置 
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表 7.3 UNIX/Linux 下 易 失 性 证 据 取 证 常用 的 工具 


提取 信息 命 令 
用 户 注 册 和 注销 系统 的 基本 信息 Last 
系统 中 活动 用 户 的 基本 信息 W 
系统 中 正 登 录 的 用 户 基本 信息 Who 
系统 中 最 近 执 行 的 Shell 命令 Lastcomm 
系统 的 文件 .目录 信息 Ls 
最 近 被 系统 打开 的 文件 Lsof 
系统 中 当前 运行 的 进程 Ps 
某 时 间 后 被 修改 过 的 文件 和 目录 Find 


也 可 以 导出 内 存 镜 像 分 析 。 内 存 镜 像 也 称 为 内 存 转 储 文 件 , 通 过 dump 内 存 , 也 可 以 获 
取 整 个 系统 内 存 的 镜像 。 这 个 镜像 可 以 被 大 多 数 综 合 取 证 工具 所 分 析 。 


分 


工具 使 用 


易于 失 数 据 的 提取 可 以 使 用 综合 取证 工具 的 “自动 取证 ”功能 来 实现 ， 
或 者 使 用 专用 工具 (例如 微软 的 SysInternals Suite、COFEE) 内存 获取 工 
具 (win32dd .FTK Imager、EnCase Imager) 等 来 提取 易 失 数据 。 


针对 不 同类 型 案件 , 易 失 性 数据 的 提取 内 容 也 是 不 一 样 的 。 勘 验 人 员 应 该 针对 案件 的 
性 质 ,合理 安排 现场 勘 验 和 取证 对 象 。 做 到 迅速 有效 不 遗漏 。 

传统 犯罪 案件 中 系统 状态 信息 的 提取 

对 于 传统 案件 ,一般 需要 提取 的 计算 机 系统 状态 信息 包括 : 

。 系统 当前 运行 的 进程 。 

。 每 个 进程 当前 打开 的 文件 。 

。 每 个 进程 内 存 中 的 内 容 。 

。 当前 网 络 连接 状态 。 

。 用 户 登 录 账 户 。 

。 通信 工具 。 

网 络 犯 罪案 件 中 系统 状态 信息 的 提取 

对 于 网 络 犯罪 案件 ,例如 计算 机 系统 入 侵 或 破坏 案 的 攻击 方 和 被 攻击 方 来 说 ,一 般 需 要 
提取 的 系统 状态 信息 (不 限于 ) 包 括 : 

。 当前 运行 的 进程 。 

。 每 个 进程 当前 打开 的 文件 。 

。 每 个 进程 内 存 中 的 内 容 。 
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。 每 个 进程 提供 的 网 络 服务 端口 。 
。 每 个 进程 所 依赖 的 模块 列表 。 
。 当前 网 络 连 接 状 态 和 网 卡 当 前 运行 模式 (是 否 存 在 侦 听 ) 。 
。 当前 网 络 共享 列表 。 
* MAC 地 址 。 
*。 ARP 绥 存 表 。 
。 当前 登录 用 户 以 及 登录 的 时 间 。 
对 于 UNIX/Linux 系统 ,还 需要 提取 当前 登录 用 户 正 在 执行 的 命令 、 以 前 执行 的 命令 
列表 。 
提取 易 失 性 数据 的 注意 事项 : 
。 搜查 证 物 时 应 密切 注意 计算 机 系统 的 状态 ,如 果 计 算 机 处 于 开机 状态 ,很 有 可 能 在 
搜查 证 物 时 屏幕 锁定 ,一旦 屏幕 锁定 ,就 无 法 提取 易 失 性 数据 。 
不 得 使 用 目标 系统 上 的 程序 实施 提取 : 在 调查 系统 入 侵 案 件 时 ,调查 人 员 必 须 意识 
到 目标 系统 上 的 程序 有 可 能 被 攻击 者 蔡 换 (比如 安装 rootkit) ,因此 并 不 能 准确 提取 
所 需 信 息 , 因 此 调查 人 员 必 须 使 用 自 带 的 软件 实施 提取 。 
不 得 使 用 消耗 大 量 资源 的 软件 实施 提取 : 一 般 情 况 下 ,在 提取 系统 状态 信息 时 ,不 
得 使 用 需要 消耗 大 量 资源 (内 存 、 人 硬盘 空间 ) 的 软件 实施 提取 ,因为 这 些 软 件 可 能 会 
对 系统 上 的 证 据 造 成 破坏 。 
不 得 将 提取 的 信息 存储 在 目标 系统 原 有 的 存储 介质 中 .; 提取 得 到 的 信息 必须 存储 
到 调查 人 员 自 带 的 存储 介质 中 ,以 避免 对 原 有 的 存储 介质 造成 破坏 。 
。 记录 操作 过 程 ,保护 易 失 性 信息 的 完整 性 和 真实 性 。 在 提取 易 失 性 数据 过 程 中 , 必 
须 详细 记录 提取 过 程 ( 照 相 或 录像 )。 对 于 提取 得 到 的 信息 必须 使 用 哈 硕 算法 (MD5 
或 SHA1) 计 算得 到 的 信息 的 哈 硕 值 ,打印 这 些 哈 硕 值 并 由 见证 人 或 嫌疑 人 签名 。 
2) 在 线 分 析 
在 电子 数据 勤 验 中 ,有 时 候 会 遇 到 下 列 情 况 : 
中 情况 紧急 ,在 现场 不 实施 在 线 分 析 可 能 会 造成 严重 后 果 的 ; 
四 情况 特殊 ,不 允许 关闭 电子 设备 或 扣押 电子 设备 的 。 
这 时 候 就 需要 进行 在 线 分 析 。 在 线 分 析 必 须 亲 循 以 下 原则 。 
。 迅速 制定 分 析 策 略 ,缩短 在 线 分 析 的 时 间 , 将 影响 范围 控制 在 最 低 限 度 。 
*。 对 在 线 分 析 的 过 程 进 行 监管 ,使 用 照相 或 者 摄像 设备 拍摄 ,在 法 律 文书 或 者 操作 日 
志 上 全 程 记录 在 线 分 析 的 过 程 ,完整 记录 操作 人 员 执 行 的 操作 ,并 由 见证 人 对 该 操 
作 记 录 签 字 认 可 。 
人 的 信息 造成 严重 破坏 的 软件 实施 勘查 。 不 得 在 目标 系统 上 
安装 任何 新 的 软件 ,如 果 需 要 运行 调查 人 员 自 带 的 软件 ,必须 从 光盘 或 者 软盘 直接 
启动 该 软件 。 
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*。 如 果 在 现场 在 线 勤 查 过 程 中 ,提取 的 重要 信息 可 以 保存 到 调查 人 员 上 月 市 的 存储 介质 
上 ,对 这 些 文 件 使 用 哈 希 算法 (MD5 或 SHA1) 计 算得 到 哈 希 值 , 打 印 这 些 哈 希 值 并 
由 见证 人 或 嫌疑 人 签名 ,同时 在 法 律 文书 或 者 操作 日 志 上 注 明 保存 操作 ，。 
3) 固定 证 物 
在 现场 勘 验 过 程 中 获取 的 可 能 作为 证 据 的 计算 机 、 电子 设备 、 多 失 性 数据 .电子 数据 都 
应 进行 固定 。 如 何 保存 犯罪 证 据 直 接 关 系 到 证 据 的 法 律 效力 。 只 有 证 据 保 存 和 从 合法 律 手 
续 , 其 丰 实 性 和 可 徘 性 才 有 保障 ,不 符合 法 定 的 手续 和 要 求 , 则 存在 人 为 的 伪造 、 变 造 , 调 换 
或 由 于 日 然 因 系 发 生变 化 的 可 能 性 。 
根据 公安 机 关 的 《计算 机 犯罪 现场 勘 验 与 电子 证 据 检 查 规则 》, 有 关 国 定 存 储 介 质 和 电 
于 数据 的 方式 为 完整 性 校 验方 式 、 备 份 方式 和 封存 方式 。 
“第 十 四 条 ”固定 存储 介质 和 电子 数据 包括 以 下 方式 : 
J 完整 性 校 验方 式 是 指 计算 电子 数据 和 存储 介质 的 完整 性 校 验 值 ,并 制作 、 填 写 《 固 定 
电子 证 据 清 单 》; 
备份 方式 是 指 复 制 、. 制 作 原 始 人 存储 介质 的 备份 ,并 依照 第 十 三 条 规定 的 方法 封存 原 
始 存 储 介质 ; 
(3) 封存 方式 对 于 无 法 计算 存储 介质 完整 性 校 验 值 或 制作 备份 的 情形 ,应 当 依 照 第 十 二 
条 规定 的 方法 封存 原始 存储 介质 ,并 在 勘 验 、 检 查 笔录 上 注 明 不 计算 完整 性 校 验 值 或 制作 备 


份 的 理由 。 
在 实际 操作 中 ,一 般 固定 电子 数据 的 方式 有 以 下 三 种 ; 
第 一 种 : 固定 设备 。 对 于 现场 的 台式 计算 机 系统 .笔记 本 电脑 .手机 等 ,以 及 其 他 完整 


的 电子 设备 ,可 以 整 机 封存 固定 。 人 台式 计算 机 中 ,主板 BIOS 内 存储 有 系统 时 间 信 息 , 便 盘 
内 留存 有 系统 及 用 户 的 软件 .数据 等 信息 。 在 现场 勘 验 时 来 不 及 进行 全 面 分 析 , 可 以 整 机 固 
定 提取 , 竺 后 续 通 过 检查 或 鉴定 和 检验 进行 深 和 人 分析 。 

第 二 种 : 固定 存储 介质 。 对 于 现场 发 现 的 台 陈 计算 机 ,发 现 计算 机 数量 较 多 , 整 机 提取 
有 困难 ,或 有 其 他 不 便于 提取 整 机 设备 的 情况 ,可 以 封存 固定 计算 机 内 的 便 盘 等 存储 介质 ， 
包括 封存 源 盘 和 制作 镜像 盘 。 现 场 勘 验 发 现 的 可 以 作为 证 据 的 移动 便 盘 、U 盘 、 光 盘 、SD 
卡 、TF 卡 每 存储 介质 ,可 以 单独 提取 和 封存 。 

第 三 种 : 固定 电子 数据 。 现 场 发 现 的 设备 和 存储 介 奈 中 部 分 电子 数据 可 以 作为 证 据 材 
料 提取 ,设备 或 介质 不 需要 提取 ,或 不 便于 提取 的 情况 下 ,可 以 只 提取 和 固定 相应 的 电子 效 
据 。 如 提取 的 易 失 性 数据 和 在 线 分 析 发 现 的 相关 数据 。 

固定 证 物 时 必须 依照 以 下 顺序 、 

J 关闭 电源 

在 提取 易 失 性 数据 或 在 线 分 析 绪 束 之 后 ,必须 立即 关闭 电子 设备 的 电源 。 

一 般 情况 下 不 得 采 用 第 规 的 流程 关闭 计 算 机 。 对 于 台式 机 必须 直接 拔除 台式 机 背后 的 
电 订 捅 头 切断 电 产 ,对 于 笔记 本 电脑 ,持续 按 下 电源 开关 近 10 秒 左右 即 可 关闭 电源 。 
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对 于 服务 硕 , 直 接 切 断 电 源 会 损坏 数据 ,必须 与 相关 的 专家 和 系统 管理 人 员 咨 询 后 确定 

关机 的 方法 。 

记录 现场 设备 连接 状态 

记录 设备 的 基本 类 型 .型 号 . 厅 列 号 .操作 系统 。 对 设备 . 电 顷 、 网 线 等 设备 的 连接 处 进 

行 编号 ,拍照 并 绘制 连接 拓扑 图 ,获得 的 照片 和 拓扑 图 必须 能 够 保证 重新 完整 的 复原 设备 的 
连接 状态 ,并 且 能 够 反映 该 设备 在 现场 所 处 位 置 。 

在 封存 前 ,记录 下 该 计算 机 信息 系统 和 相关 设备 的 连接 状态 , 拆 鲫 计算 机 及 其 连接 设 

备 。 拆 外 设 备 时 ,每 一 对 连接 点 分 别 粘 上 相应 标签 , 标 以 相同 序号 (确保 根据 标签 和 编号 可 
以 还 原 现场 设备 的 连接 状态 )。 同 时 为 每 个 设备 编号 ,记录 设备 型 号 等 参数 。 用 一 次 性 封条 
将 机 箱 和 各 接口 封 起 来 , 注 明 提取 时 间 、 地 点 .设备 编号 等 信息 ,加 盖 单 位 公章 。 

(3 存储 介质 的 镜像 

一 般 情 况 下 要 提取 嫌疑 人 使 用 的 设备 或 者 存储 介质 。 如 宁 由 于 特定 的 原因 没 法 市 走 用 

户 的 存储 设备 ,必须 有 米 用 按 比 特 复制 的 软件 或 专用 的 复制 设备 对 存储 介质 进行 按 比 特 复 制 
(镜像 )。 

必须 使 用 喻 希 算 法 计算 所 镜像 的 存储 介质 的 喻 希 值 ,打印 该 喻 希 值 ,记录 镜像 的 时 间 、 

存储 介质 的 型 号 ,并 由 见证 人 或 嫌疑 人 签字 认可 。 
证 物 封存 
作为 证 据 材 料 使 用 的 电子 介质 保存 应 符合 相关 法 律 法 规 的 规定 ,刑事 诉讼 法 、 公 安 机 关 
办 理 刑事 案件 程序 规定 等 都 有 相关 法 律 要 求 。 

根据 4 计算 机 犯罪 现场 勤 验 与 电子 证 据 检 查 规则 》, 第 十 二 条 和 第 十 三 条 为 电子 介质 保 
存 的 要 求 : 

固定 和 封存 电子 数据 的 目的 是 保护 电子 数据 的 完整 性 .真实 性 和 原始 性 。 作 为 证 据 使 
用 的 存储 媒介 .电子 设备 和 电子 数据 应 当 在 现场 固定 或 封存 。 

封存 电子 设备 和 存储 介质 的 方法 是 : 

。 采用 的 封存 方法 应 当 保 证 在 不 解除 封存 状态 的 情况 下 ,无 法 使 用 被 封存 的 存储 巡 介 
和 启动 被 封存 电子 设备 。 

。 封存 前 后 应 当 拍 摄 被 封存 电子 设备 和 存储 介质 的 照片 并 制作 《封存 电子 证 据 清 单 》， 
照片 应 当 从 各 个 角度 反映 设备 封存 前 后 的 状况 ,清晰 反映 封口 或 张贴 封条 处 的 
状况 。 

上 述 规定 是 公安 机 关 进 行 计算 机 犯罪 现场 勘 验 与 电子 证 据 检 查 的 规定 要 求 , 应 该 按照 

上 述 要 求 开 展 工 作 。 田 外 根据 电子 介质 的 特点 ,在 细 方 层面 还 应 该 按照 以 下 原则 开展 工作 ，。 

5. 证 物 的 运输 和 移交 

对 于 存储 介质 ,必须 在 该 存储 介质 温度 降低 到 室温 度 后 ,使 用 防 静 电 、 防 水 的 包装 介质 

封装 ,并 贴 上 封条 或 胶带 进行 密封 。 贴 上 标签 并 注 明 获 取 的 时 间 、 人 员 姓 名 以 及 设备 的 型 
号 。 存 储 介 质 应 存储 在 正常 室温 的 环境 下 ,避免 遭受 磁 . 水 . 电 ` 油 的 影响 。 对 于 软盘 、 磁 带 、 


dal 
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光盘 等 存储 介质 必须 封装 在 坚固 的 存储 箱 中 ,避免 这 些 存储 介质 弯曲 折断 。 手 机 等 具有 通 
信 功 能 的 设备 应 该 放置 在 屏蔽 箱 内 ,避免 新 的 信息 传输 覆盖 之 前 的 信息 。 


7.3 远程 勘 验 


在 取证 勘 验 对 象 在 处 于 虚拟 空间 ,或 者 不 能 实地 接触 取证 对 和 象 的 情况 下 ,往往 需要 通过 
远程 勘 验 提取 和 固定 远程 目标 主机 上 的 电子 数据 。 

根据 (计算 机 犯罪 现场 勘 验 与 电子 证 据 检查 规则 》 的 规定 ,远程 勘 验 ,是 指 通过 网 络 对 远 
程 目标 系统 实施 勘 验 ,以 提取 、 固 定 远 程 目标 系统 的 状态 和 存留 的 电子 数据 。 

远程 勘 验 是 侦查 活动 的 组 成 部 分 。 因 此 远程 勘 验 必须 由 具备 相应 能 力 的 电子 数据 勘 验 
人 员 俩 员 进 行 。 远 程 勘 验 的 对 象 应 为 网 络 远 程 目标 ,例如 对 境外 远程 主机 进行 勘 验 。 和 远程 
勘 验 完成 后 需要 形成 远程 勘 验 笔 录 并 提取 固定 相关 的 电子 数据 作为 证 据 材 料 。 

远程 勘 验 的 流程 和 注意 事项 与 现场 勘 验 基本 一 人 臻 。 需 要 注意 的 是 : 

(1) 根据 远程 勘 验 工作 的 任务 要 求 , 应 该 配备 相应 的 远程 勘 验 工作 用 计算 机 ,并 配备 其 
验 用 远程 登录 工具 远程 访问 客户 端 ,FTP 上 传 下载 工 具 等 。 

(2) 记录 工具 的 准备 ,在 远程 勘 验 过 程 中 要 记录 并 提取 相关 屏幕 显示 信息 、 和 远程 目 标 状 
态 信 息 等 ,需要 准备 相关 的 屏 和 项 录像 工具 \、 屏 笑 截 屏 工具 ,记录 还 程 勘 验 过 程 的 照相 ,摄像 带 
材 等 。 

(3) 证 据 提 取 固 定 工 具 的 准备 。 远 程 勘 验 过 程 中 发 现 的 证 据 需 要 进行 固定 和 提取 ,如 
远程 服务 器 的 系统 日 志文 件 、 系 统 内 的 电子 文档 特定 程序 文件 等 ,要 通过 网 络 下 载 到 勘 验 

工作 用 计算 机 ， 并 进行 电 于 数据 的 复制 备份 .计算 校 验 值 固定 等 ,因此 需要 在 工作 用 计算 机 
上 准备 哈 希 计算 工具 .压缩 ] - 具 以 及 光盘 刻录 机 、 刻 录用 空 日 光盘 等 设备 。 


7.4 电子 证 据 检 查 


根据 《公安 机 关 计 算 机 犯罪 现场 勘 验 与 电子 证 据 检查 规则 3》 规定, 电子 证 据 检 查 是 指 检 
查 已 扣押 封存 .固定 的 电子 证 据 ,以 发 现 和 提取 与 案件 相关 的 线索 和 证 据 了 。 电 子 证 据 检 
查 笔 录 也 是 证 据 的 一 种 类 型 。 随 者 实践 的 不 断 深 化 , 原 有 的 电子 证 据 检 查 职 能 会 过 步 被 电 
于 数据 分 析 和 电子 数据 鉴定 检验 所 取代 ,所 谓 电 子 数 据 分 析 , 是 指 对 固定 、 封 存 后 的 电子 效 
据 进 行 技术 分 析 , 以 发 现 新 的 线索 和 证 据 , 为 条 件 侦办 提供 指引 ,属于 现场 勘 验 、 和 远程 勘 验 等 
侦查 活动 的 延续 ,一 般 由 侦查 人 员 进 行 ,由 于 是 对 固定 后 的 电子 数据 分 析 , 一 般 完 整 性 能 够 


《计算 机 犯罪 现场 勘 验 与 电子 证 据 检 查 规则 》 第 二 条 。 
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得 到 保障 ,分 析 后 出 具 分 析 报 告 一 般 不 移送 检 法 ,而 仅 归 入 侦查 卷 ; 而 电子 数据 鉴定 和 检验 
I - 般 由 鉴定 和 检验 
人 员 进 行 ,出 具 的 鉴定 意见 或 检验 报告 一 般 要 移送 检 法 。 


7.5 勘 验 笔录 制作 


7.5.1 勘 验 笔录 的 定义 和 作用 


勘 验 笔 录 是 一 种 重要 的 证 据 材 料 。 电 子 数据 勘 验 过 程 中 制作 勘 验 笔录 是 刑事 诉讼 法 等 
法 律 法 规 的 要 求 。 从 电子 数据 材料 本 身 的 特点 来 说 ,电子 数据 在 获取 、 固 定 、 流 转 等 过 程 中 
应 该 有 相应 的 来 源 及 流转 过 程 的 说 明 及 记录 ,形成 相应 的 证 据 链条 。 电 子 数 据 勘 验 过 程 中 
涉及 的 勘 验 笔录 分 为 现场 勘 验 笔录 和 远程 期 验 笔 录 。 


7.5.2 现场 勤 验 笔录 斑 书 的 制作 


现场 勘 验 检查 过 程 中 涉及 保护 现场 .收集 证 据 、 提 取 、 固 定 易 失 性 数据 .在线 分 析 、 提 取 、 
辐 定 证 物 等 程序 和 操作 ,相关 过 程 应 在 现场 勘 验 笔录 文书 中 有 所 记录 。 

1. 勘 验 检查 笔录 的 填写 

勘 验 检查 笔录 主要 包括 基本 情况 ,现场 情形 勘查 过 程 和 勘查 结果 四 部 分 。 

(1) 基本 情况 ,包括 勘 验 检查 的 地 点 、 起 止 时 间 ,指挥 人 员 、 勘 验 人 员 的 姓名 、 职 务 , 见 证 
人 的 姓名 .住址 等 ; 另外 在 基本 情况 中 一 般 还 需要 有 对 基本 案情 的 描述 。 

(2) 现场 情形 ,包括 现场 的 物理 环境 .设备 环境 .网络 结 构 .运行 状态 等 ,运行 状态 描述 
中 需要 说 明 现 场 发 现 的 计算 机 系统 及 电子 设备 的 开关 机 状态 ,开机 运行 的 应 该 当场 检查 并 
记录 当前 运行 的 程序 ,系统 的 日 期 及 时 间 ; 联网 设备 应 记录 设备 的 IP 地 址 分 配 情 况 ,包含 
IP 地 址 分 配方 式 `. 地 址 DNS 网关、 捧 码 等 。 现 场 网 络 结构 复杂 的 ,或 者 需要 记录 网 络 拓扑 

结构 的 场合 ,还 需要 附加 相应 的 网 络 拓扑 结构 图 。 

(3) 勘查 过 程 , 包 括 勘查 的 基本 情况 , 易 失 性 数据 提取 的 过 程 、 产 生 的 数据 ,在 线 勘 验 、 
检查 过 程 中 实施 的 操作 、 对 数据 可 能 产生 的 影响 ,提取 的 数据 、 封 存 物 品 、 固 定 证 据 的 有 关 情 
况 等 ; 勘查 过 程 的 填写 结合 勘查 目的 及 任务 ,填写 主要 的 操作 过 程 和 结果 。 

(4) 勘查 结果 ,要 填写 提取 物证 的 有 关 情 况 、 勘 查 形成 的 结论 以 及 发 现 的 案件 线 

2.《 勘 验 检 查 照 片 记录 表 ) 和 录像 记录 填写 

《现场 勘查 照片 记录 表 》 应 当 记 录 该 相片 拍摄 的 内 容 、 对 象 ,并 编号 入 卷 。 拍 摄 的 照片 可 
以 是 数码 照 厂 或 光学 照片 。 现 场 勘 验 检 查 过 程 中 需要 对 现场 状况 以 及 提取 数据 、 封 存 物品 
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文件 的 过 程 、 在 线 分 析 的 关键 步 又 录像 ,录像 市 应 当 纺 号 封 企 。 在 现场 拍摄 的 照片 应 当 统 一 
编号 制作 《 勤 验 检查 照片 记录 表 》。 

蔓 验 笔录 中 需要 记录 现场 录像 人 、 录 像 时 间 、 录 像 市 编号 .封存 情况 。 现 场 照片 情况 需 
要 记录 照 厂 招 摄 人 、 担 照 时 间 、 照 片 编号 和 照片 的 张 数 。 在 勘 验 笔录 文书 中 ,应 将 关键 过 程 
录像 和 照片 进行 排序 ,按照 时 间 顺 友和 操作 过 程 填写 对 应 的 内 容 , 便 于 文字 记录 与 录像 和 照 
厂 相 互 对 应 。 在 实际 操作 中 ,由 于 录像 和 拍照 一 般 部 是 采取 数码 照片 影响 格式 ,照片 和 录像 
本 号 包含 时 间 信 息 , 应 事先 校准 摄像 机 和 照相 机 的 日 期 及 时 间 , 在 文书 制作 过 程 中 对 应 照片 
时 间 填 写 相 应 日 期 ,便于 文书 的 整理 和 制作 。 

3. 固定 电子 证 据 清单 填写 

根据 现场 勘 验 检查 规定 ,在 现场 提取 的 易 失 性 数据 以 及 现场 在 线 分 析 时 生成 和 提取 的 
电子 数据 ,应 当 计 算 其 完整 性 校 验 值 并 制作 、 填 写 《 固 定 电子 证 据 清 单 》, 如 表 7.4 所 示 以 保 
证 其 完整 性 和 在 实 性 。 

表 7.4 固定 电子 证 据 清单 格 式 


974897cf0e2643d017ftd792 


1 号 硬盘 1 号 主机 上 的 原始 硬盘 ea 陈 某 某 使 用 的 主机 
e5d955f77 
\ 易 丢失 数据 从 1 号 主机 上 正在 运行 的 |b8{f397ebc97f4ae 在 主机 上 运行 userdump 
Nie. dump IE 中 提取 的 内 存 内 容 50747a327501fa88e -p 678 得 到 的 文件 
| Ny， le. m 各 
\Web 日 志 i 所 在 主 | 5a79960798d6372123 该 主机 2014 年 7 月 1 日 
机 的 c:\winnt\system32\ / / 
\20040708. log ed0ae71cb1742 的 日 志 


logfiles\20040708. log 


数据 应 该 说 明 固 定 电 子 数据 的 名 称 , 比 如 嫌疑 人 台式 计算 机 内 编辑 的 文档 .服务 郑重 点 
数据 库 文 件 备份 ,来 源 应 说 明 提取 证 据 在 哪 台 设备 上 提取 ,完整 性 校 验 值 为 证 据 固 定式 计算 
的 MD5 校 验 值 或 SHA1L 校 验 值 , 应 与 明 校 验 值 类 型 和 效 值 。 如 ”MD5 : d27f3f9f1872d6a53 
5d433a7455c664f?”。 

4. 封存 电子 证 据 清 单 填写 

以 封存 方式 提取 的 电子 数据 ,应 对 照 填 写 封 存 电 子 证 据 清 单 , 封 存 电 子 证 据 清 单 如 
表 7.5 所 示 。 


表 7.5 封存 电子 证 据 清 单 


| 黑色 aigo U 盘 ,S/N: 0133333112 共 拍 摄 照 片 3 张 。 编 号 为 1 、2、3 


编号 为 现场 封存 电子 数据 的 编号 ,名 称 应 写 明 台式 计算 机 、 人 硬盘 、U 盘 等 ,型 号 和 特征 
应 填写 相应 型 号 及 明显 特征 , 币 产 品 序 列 号 的 应 标明 产品 序列 号 ,如 便 盘 序列 号 ,比如 “ 震 色 
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aigo U 盘 S/N: 0133333112”, 封 存 电 子 数据 的 需要 对 封存 状态 进行 拍照 ,取证 规则 规定 封 
存 前 后 应 当 担 摄 被 封存 电子 设备 和 存储 介质 的 照片 并 制作 《封存 电子 证 据 清 单 》, 照 片 应 当 
从 各 个 角度 反映 设备 封存 前 后 的 状况 ,清晰 反映 封口 或 张贴 封条 处 的 状况 。 

5. 安装 应 用 程序 和 操作 过 程 的 记录 

如 果 因 为 特殊 原因 ,需要 在 目标 系统 中 安 波 新 的 应 用 程序 的 ,应 当 在 (现场 勘 验 检 查 笔 
录 ) 中 记录 所 安装 的 程序 及 其 日 的。 应当 在 《现场 勘 验 检查 笔录 中 详细 ,准确 记录 实施 的 操 
作 以 及 对 目标 系统 可 能 造成 的 有 影响。 安装 应 用 程序 的 应 详细 记录 应 用 程序 的 名 称 和 版 本 
号 ,必要 时 应 记录 应 用 程序 的 哈 希 校 验 值 ,并 留存 应 用 程序 的 副本 。 操 作 过 程 记录 应 与 操作 
过 程 录像 相对 应 ,应 客观 如 实 记 录 主 要 的 操作 过 程 。 


7.5.3 远程 勘 验 息 录 文书 的 制作 


远程 勘 验 工作 记录 文书 由 《远程 勘 验 笔录 《固定 电子 证 据 清 单 》《 勘 验 检 查 照 片 记录 
表 》 以 及 截获 的 屏 锋 截图 等 内 容 组 成 。 远 程 勘 验 检 查 笔录 与 现场 勘 验 检查 笔录 类 似 ,同样 包 
括 基 本 情况 、 勘 验 过 程 、 勘 验 结果 的 记录 ,文书 填写 制作 要 求 参 考 上 述 现 场 勘 验 笔录 部 分 的 
要 求 。 

在 远程 勘 验 笔录 文书 制作 中 需要 注意 的 事项 有 : 

(1) 现场 情形 的 记录 方面 ,应 该 同时 记录 远程 勘 验 工作 用 机 和 远程 勘 验 目标 主机 的 设 
备 环境 ,网 络 结构 运行 状态 。 运 行 状 态 描述 中 需要 说 明和 远程 勘 验 目 标 主 机 当前 运行 的 程 
序 ,系统 的 日 期 及 时 间 ; 联网 设备 应 记录 设备 的 IP 地 址 分 配 情 况 , 包 含 IP 地 址 分 配方 式 、 
地 址 .DNS、 网 关 , 掩 码 等 。 现 场 网 络 结 构 复 杂 的 ,或 者 需要 记录 网 络 拓 扑 结 构 的 场合 ,还 需 
要 附加 相应 的 网 络 拓扑 结构 图 。 

(2) 远程 勘 验 主机 的 时 间 记 录 。 对 于 计算 机 犯罪 现场 远程 勘 验 ,远程 勘 验 笔录 记录 的 
勘 验 起 止 时 间 应 为 实施 勘 验 所 在 地 的 时 间 , 勘 验 目 标 在 异地 、 跨 时 区 的 , 勘 验 远程 目标 所 在 
的 时 区 和 时 间 应 在 勤 验 笔录 中 做 相应 记录 。 


7.6 本 章 小 续 


本 草 详 细 讲 解 了 电子 效 据 现场 勘 验 检查 遭 循 的 规范 .原则 以 及 操作 流程 。 电 子 数据 的 
现场 勘 验 ,由 于 其 虚拟 性 和 多 失 性 ,相对 于 传统 条 件 现场 勘 验 现场 ,具备 征明 的 特点 ,也 有 看 
截然 不 同 的 取证 方法 。 如 今 的 现场 部 会 留存 电子 设备 或 者 数据 ,电子 数据 勘 验 已 经 成 为 不 
可 或 号 的 现场 勘 验 方法 。 电 子 数据 勘 验 不 但 能 够 挖掘 出 条 件 线 款 , 推 动 条 件 侦破 ,同时 其 出 
具 的 现场 勘 验 笔录 也 可 以 作为 证 据 使 用 。 这 元 分 验证 了 电子 数据 取证 是 贯穿 于 整个 侦查 破 
案 过 程 中 的 重要 技术 方法 。 
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思 考 题 


1. 美国 和 英国 电子 数据 勘 验 的 基本 规则 是 什么 ? 

2. 网 络 犯 罪 现 场 和 传统 犯罪 现场 的 区 别 是 什么 ? 

3, 电子 数据 勘 验 检查 与 鉴定 检验 的 联系 和 区 别 是 什么 ? 
4. 电子 数据 勘 验 和 检查 的 合法 性 原则 是 什么 ? 

5. 电子 数据 现场 勘 验 的 流程 是 什么 ? 

6. 勘 验 准备 包括 什么 ? 

7. 如 何 保护 现场 ? 

8. 电子 数据 现场 勘 验 所 需要 的 基本 勘 验 工具 有 什么 ? 
9. 列举 保护 电子 数据 的 四 项 内 容 。 

10. 易于 失 数 据 的 提取 流程 是 什么 ? 

11. 在 线 分 析 的 要 求 和 原则 是 什么 ? 

12. 固定 证 物 的 要 求 和 流程 是 什么 ? 


= 
记忆 


.在 哪些 情况 下 需要 使 用 远程 勘 验 来 提取 固定 证 据 ? 
. 针对 一 个 单机 环境 ,做 出 一 个 现场 勘 验 笔录 。 


I 
> 


电 了 数据 命定 和 栓 验 


本 章 学 习 目 标 

。 鉴定 和 检验 的 概念 

。 鉴定 和 检验 的 法 律 要 求 

。 国内 外 鉴定 和 检验 现状 

。 鉴定 和 检验 资质 的 要 求 

。 电子 数据 鉴定 和 检验 的 法 律 要 求 
。 电子 数据 鉴定 和 检验 的 资质 要 求 
。 电子 数据 鉴定 和 检验 的 应 用 范围 
。 电子 数据 鉴定 和 检验 的 流程 

。 电子 数据 鉴定 和 检验 的 出 庭 


法 律 诉讼 中 ,案件 往往 涉及 广 沁 专业 领域 知识 。 审判 人 具备 法 律 专业 知识 ,但 是 专业 知 
识 不 足 ,不 能 够 全 面 判断 并 作出 结论 。 因 此 ,在 涉及 专业 问题 时 需要 相关 领域 的 专家 ,利用 
科学 技术 或 者 专门 知识 进行 鉴别 和 判断 ,提供 证 据 为 案件 侦查 .诉讼 审判 服务 。 在 刑事 、 民 
事 和 行政 诉讼 中 ,鉴定 和 检验 绪论 因为 其 呐 实 性 和 可 徘 性 ,往往 具有 其 他 证 据 方式 不 可 特 代 
的 作用 ,对 于 正确 认定 事实 和 后 果 , 公 正 审理 案件 有 着 重要 的 意义 。 

我 国正 处 在 法 治 社会 的 建设 过 程 中 ,由 于 历史 的 原因 和 相关 法 律 法 规 沿 不 完善 ,同时 行 
业 部 门 对 于 鉴定 和 检验 的 认识 和 理解 也 不 尽 相 同 , 在 司法 实践 中 鉴定 和 检验 出 现 了 一 定 偏 
差 ,形成 相对 复杂 的 局 面 。 尤 其 从 事 新 型 的 电子 数据 鉴定 和 检验 工作 的 专业 人 员 , 有 必要 在 
利用 专业 知识 开展 工作 的 同时 ,还 需要 充分 理解 法 律 法 规 的 相关 要 求 和 注意 事项 ,才能 喝 准 


8.1 鉴定 和 检验 的 概念 


8.1.1 鉴定 

根据 2005 年 2 月 28 日 4 全 国人 民 代 表 大 会 稼 务 委 员 会 基于 司法 鉴定 管理 问题 的 决定 》 
( 傈 称 人 大 ”2.28” 诀 定 ) 中 的 定义 ,鉴定 指 的 是 “诉讼 活动 中 鉴定 人 运用 科学 技术 或 者 专门 知 
识 对 诉讼 涉及 的 专门 性 问题 进行 鉴别 和 判断 并 提供 鉴定 意见 的 活动 ”。“ 鉴 定 ”(Forensic)， 
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分 为 " 鉴 ” 和 "是 "两 部 分 。 ” 鉴 ? 体 现 为 鉴定 人 利用 科学 技术 或 专门 知识 ,对 委托 方 提供 的 样 
品 或 检 材 ,进行 科学 的 检查 和 分 析 .。“ 定 ”体现 为 鉴定 人 根据 分 析 结 果 ,确定 鉴定 意见 。“ 鉴 ” 
和 “ 定 ” 是 一 个 连续 的 过 程 , 密 不 可 分 。 

我 国 现 有 的 法 律 体系 是 建国 后 推翻 了 原 有 司法 制度 的 基础 上 建立 起 来 的 ,基本 学 习 、 借 
鉴 移植 了 社会 主义 国家 苏联 的 立法 模式 和 法 律 制 度 。 鉴 定 , 有 时候 又 称 为 “司法 2 鉴定 ”， 
是 将 苏联 “Forensic Science。” 翻 译 成 “司法 鉴定 ”"。 在 2005 年 人 大 常委 会 立法 时 ,有 人 提出 
按照 语义 重新 翻译 为 “法 庭 科 学 ”, 遭 到 和 否决。 原因 一 是 因为 司法 鉴定 已 经 成 为 约定 俗称 的 
称呼 ,不 易 改 变 ; 二 是 法 庭 科学 一 般 特 指 刑事 活动 中 涉及 的 鉴定 ,而 司法 鉴定 不 但 涉及 刑 
事 ,还 涉及 民事 和 行政 鉴定 。 

在 国际 上 ， 法庭 科 学 ?是 统一 的 称呼 , 随 着 我 国 的 司法 鉴定 实践 与 国际 接轨 ,尤其 是 司 
法 鉴定 实验 室 参 与 到 国际 认可 活动 中 ,一 般 用 “司法 鉴定 /法 庭 科 学 3? 来 作为 整体 称呼 , 单 
独 的 “司法 鉴定 ”和 "法 庭 科 学 ?的 含义 一 致 。 此 外 我 国 对 "司法 鉴定 > 有 着 不 同 的 理解 ,有 些 
理论 认为 还 有 执法 部 门 的 “职权 鉴定 ”的 存在 。 综 合 以 上 因素 ,本 书 以 “鉴定 ”为 统一 称呼 。 


8.1.2 检验 


检验 : 根据 最 高 人 民法 院 在 《关于 适用 (中 华人 民 共 和 国 刑事 诉讼 法 ) 的 解释 》( 人 简称 刑 
诉 法 解释 ) 第 八 十 七 条 规定 “对 案件 中 的 专门 性 问题 需要 鉴定 ,但 没有 法 定 司 法 鉴定 机 构 , 或 
者 法 律 、 司 法 解释 规定 可 以 进行 检验 的 ,可 以 指派 、 聘 请 有 专门 知识 的 人 进行 鉴别 ,判断 并 提 
供 检验 报告 可 以 作为 定罪 量刑 的 参考 的 活动 ”鉴定 和 检验 部 是 将 事实 或 者 数据 形成 证 据 链 
并 使 这 个 证 据 为 法 星 理 解 。 

我 国 的 司法 实践 中 ,尤其 是 新 型 的 “电子 数据 ”的 鉴定 活动 ,人 大 “2. 28” 决 定 没 有 也 无 法 
为 电子 数据 的 法 律 应 用 提供 指导 。 为 了 更 好 地 适应 社会 发 展 和 司法 应 用 的 需要 , 刑 诉 法 
解释 做 了 上 述 的 规定 。 这 实际 上 是 证 据 在 司法 实践 中 的 一 种 延伸 ,可 以 认为 检验 是 司法 
鉴定 的 一 种 有 力 的 补充 ,在 不 违背 目前 人 大 决定 和 相关 法 律 法 规 的 前 提 下 以 填补 鉴定 的 


空白 。 


中 “司法 ”(Justice) ,又 称 法 的 适用 ,通常 是 指 国家 司法 机 关 及 其 人 员 依 照 法 定 职 权 和 法 定 程序 ,具体 运用 法 律 处 理 
案件 的 专门 活动 。 这 里 的 司法 并 不 是 专 指 单纯 的 司法 职能 ,也 不 是 司法 行政 机 关 , 而 是 实施 法 律 的 一 种 活动 ,目的 是 实 
现 立 法 目标 .发挥 法 律 功能 。 

加 苏联 的 "Forensic ”一 词 是 从 欧美 西方 国家 传 来 的 。 

中 国 合格 评定 国家 认可 委员 会 颁布 的 CNAS-CL08: 2013{ 司 法 鉴定 法 庭 科学 机 构 能 力 认可 准则 3》 中 ,将 这 两 种 
称谓 并 列 出 现 。 

属于 第 二 条 第 四 款 “ 根 据 诉 讼 需要 由 国务 院 司 法 行政 部 门 商 最 高 人 民法 院 、. 最 高 人 民 检 察 院 确定 的 其 他 应 当 对 
鉴定 人 和 鉴定 机 构 实 行 登记 管理 的 鉴定 事项 ”。 
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8.2 鉴定 和 检验 的 法 律 要 求 


鉴定 和 检验 是 为 诉讼 活动 服务 的 ,我 国 的 诉讼 活动 分 为 刑事 诉讼 .民事 诉讼 .行政 诉讼 三 
种 。 鉴 定 和 检验 不 但 履 盖 了 三 种 诉讼 类 型 ,还 涵盖 了 这 些 诉讼 的 “ 诉 前 、 诉 中 , 诉 后 ”所 有 阶段 。 

对 于 诉讼 涉及 的 专门 性 问题 ,需要 进行 鉴定 的 ,我 国 以 下 法 律 法 规 要 求 进行 鉴定 : 

(1)《 中 华人 民 共 和 国 刑事 诉讼 法 各 第 一 百 四 十 四 条 规定 “为 了 查 明 案情 ,需要 解决 案 
件 中 某 些 专门 性 问题 的 时 候 , 应 当 指 派 、 取 请 有 专门 知识 的 人 进行 鉴定 。” 

(2)《 中 华人 民 共 和 国民 事 诉 讼 法 )% 第 七 十 六 条 规定 “当事人 可 以 就 查 明 事实 的 专门 性 
问题 加 人 民法 院 申请 鉴定 。 当 事 人 申请 鉴定 的 , 巾 双方 当事人 协商 确定 具备 资格 的 鉴定 人 : 
协商 不 成 的 ,由 人 民法 院 指定 。” 

(3)《 中 华人 民 共 和 国 行政 诉讼 法 )9 第 三 十 四 条 规定 “证 据 包 括 鉴定 意见 ,证 据 经 法 庭 
审查 属实 ,才能 作为 定案 的 根据 。” 

在 鉴定 无 法 罗兰 的 领域 ,需要 进行 检验 的 ,我 国 以 下 法 律 法 规 要 求 进 行 检验 : 

(1) 最 高 人 民法 院 《 关 于 适用 (中 华人 民 共 和 国 刑事 诉讼 法 ) 的 解释 》 八 十 七 条 “对 案件 
中 的 专门 性 问题 需要 鉴定 ,但 没有 法 定 司 法 鉴定 机 构 , 或 者 法 律 \ 司 法 解释 规定 可 以 进行 检 
验 的 ,可 以 指派 、 聘 请 有 专门 知识 的 人 进行 检验 ,检验 报告 可 以 作为 定罪 量刑 的 参考 。 对 检 
验 报 告 的 审查 与 认定 ,参照 适用 本 节 的 有 天 规 定 。 经 人 民法 院 通知 ,检验 人 拒 不 出 庭 作 证 
的 ,检验 报告 不 得 作为 定罪 量刑 的 参考 。” 

(2) 最 高 人 民法 院 、 最 高 人 民 检 察 院 关 于 办 理 人 危害 计算 机 信息 系统 安全 刑事 案件 应 用 
法 律 若 干 问 题 的 解释 (法 释 [2011]19 号 ) 第 十 条 ,对 于 是 否 属于 刑法 第 二 百 八 十 五 条 、 第 二 
百 八 十 六 条 规定 的 “国家 事务 .国防 建设 .尖端 科学 技术 领域 的 计算 机 信息 系统 ”“ 专 门 用 于 
侵入 ,非法 控制 计算 机 信息 系统 的 程序 、 工 具 ”“ 计 算 机 病毒 等 破坏 性 程序 ”难以 确定 的 ,应 
当 委 托 省 级 以 上 人 负责 计算 机 信息 系统 安全 保护 管理 工作 的 部 门 检验 。 司 法 机 关 根 据 检验 结 
论 ,并 结合 案件 具体 情况 认定 。 


8.3 鉴定 和 检验 的 应 用 泄 围 


人 大 “2. 28” 决 定 从 最 高 立法 角度 规范 鉴定 ,确定 了 鉴定 的 应 用 范围 ,其 中 规定 ,“ 对 从 事 
下 列 司法 鉴定 业务 的 鉴定 人 和 鉴定 机 构 实 行 登记 管理 制度 ”; 
(1) 法 医 类 鉴定 ; 对 与 案件 有 关 的 尸体 、 人 身 、 分 泌 物 .排泄 物 . 骨 内 物 、 毛 发 等 进行 鉴 


《中 华人 民 共 和 国 刑事 诉讼 法 》2013 年 1 月 1 日 施行 版 本 。 
《中 华人 民 共 和 国民 事 诉讼 法 》2013 年 1 月 1 日 施行 版 本 。 
“中 华人 民 共 和 国 行政 诉讼 法 》2015 年 5 月 1 日 施行 版 本 。 
2011 年 9 月 1 日 起 施行 。 


名 四 四 日 
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别 和 判断 的 活动 。 

(2) 物证 类 鉴定 : 对 指纹 .脚印 、 笔 迹 、 弹 猴 等 物证 进行 鉴别 和 判断 的 活动 。 

(3) 声 像 资 料 鉴 定 : 指 运用 物理 学 和 计算 机 学 的 原理 和 技术 ,对 录音 市 、 录 像 市、 便 盘 、 
光盘 .图片 等 载体 上 记录 的 声 音 图像 信 息 的 真实 性 、 完 整 性 及 其 所 反映 的 情况 过 程 进行 内 
容 认 定 或 同一 认定 。 

(4) 根据 诉讼 需要 由 国务 院 司 法 行政 部 门 商 最 局 人 民法 院 、 最 局 人 民 检 察 院 确 定 的 其 
他 应 当 对 鉴定 人 和 鉴定 机 构 实 行 登记 管理 的 鉴定 事项 。 

一 般 来 说 , “法医 类 物证 类 、 声 像 资 料 类 ”鉴定 饿 称 为 “三 大 类 ”鉴定 。 际 此 之 外 ,还 有 大 
量 的 鉴定 活动 ,例如 电子 数据 ,会计 鉴定 ,建筑 工程 鉴定 、 精 神 病 鉴定 等 游离 于 “三 大 类 ”外 ， 
属于 第 四 类 并 鹃 竺 规范。 在 司法 实践 中 ,三 大 类 之 外 的 鉴定 ,以 电子 数据 为 例 , 根 据 刑事 诉 
讼 法 解释 等 法 律 法 规 , 可 以 进行 检验 。 同 时 在 司法 鉴定 实践 中 ,司法 行政 机 关 ( 特 指 司 法 部 
局 ) 进 行 备案 “三 大 类 ”之 外 的 鉴定 机 构 出 具 的 检验 结论 一 般 都 可 以 得 到 诉讼 部 门 的 认可 。 


8.4 国内 外 鉴定 和 检验 现状 


鉴定 和 检验 是 为 法 律 服务 的 。 在 世界 范围 内 ,主要 使 用 两 种 法 律 体系 :“ 英 美 法 系 ”和 
“大 陆 法 系 "。 在 法 律 约束 的 鉴定 和 检验 框架 内 ,英美 法 系 "国家 的 鉴定 和 检验 包含 在 "专家 
证 人 "制度 中 ;“ 大 陆 法 系 ” 国 家 的 鉴定 和 检验 一 般 采 用 “职权 主义 模式, 一度 与 勘 验 、 检 查 
活动 合并 ,后 又 分 离 , 形 成 了 独立 的 鉴定 和 检验 制度 ， 


8.4.1 国外 司法 鉴定 现状 


由 于 法 律 体系 导致 司法 管理 模式 的 不 同 ,国外 的 司法 鉴定 体制 存在 一 定 差 异 , 也 不 断根 
据 形势 的 变化 而 发 展 。 总 体 来 看 ,国外 鉴定 和 检验 基本 情况 如 下 : 

1. 鉴定 和 检验 机 构 “ 多 元 化 ” 

国外 的 鉴定 和 检验 运行 体制 中 既 有 政府 或 者 执法 部 门 的 鉴定 和 检验 机 构 , 也 有 大 学 、 医 
院 、 私 人 机 构 等 设立 的 面 回 社会 服务 的 鉴定 和 检验 组 织 。 国 外 鉴定 和 检验 机 构 一 般 以 实验 
室 的 形式 建立 。 政 府 和 执法 部 门 的 实验 室 并 不 是 按照 行政 级 别 层 层 设立 ,而 是 按照 “根据 需 
要 适当 集中 ”的 原则 区 域 建设 ,避免 “ 目 侦 目 鉴 *。 例 如 ,美国 的 鉴定 和 检验 机 构 主 要 有 两 
种 ; 一 种 是 由 政府 的 法 庭 科学 实验 室 @, 例 如 FBI 实验 室 .RCFL 地 区 实验 室 ; 另 一 种 是 私 
立 的 法 庭 科学 实验 室 ,通常 为 司法 机 构 .律师 以 及 私人 侦探 服务 。 英 国 的 鉴定 和 检验 机 构 在 
2010 年 12 月 法 姓 科 学 服务 部 (The Forensic Science Service,FSS) 被 关闭 后 ,鉴定 和 检验 机 
构 全 部 “社会 化 ”, 鉴 定 和 检验 服务 主要 由 多 个 私营 机 构 提 供 , 其 中 最 大 的 是 政府 化 学 实验 室 
(Laboratory of the Government Chemist,LGCS) ,这些 鉴定 和 检验 机 构 由 内 政 部 下 的 司法 


国外 一 般 称 为 ”法庭 科学 实验 室 ”。 
加 http://www. lgcgroup. com/ 
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鉴定 监督 部 (The Forensic Science Regulator 由 ) 进 行 监督 。 

2. 鉴定 和 检验 机 构 “ 第 二 方 ”、 具 有 中 立 性 

为 了 突出 鉴定 和 检验 机 构 的 “第 三 方 ” 属 性 ,国外 鉴定 和 检验 机 构 , 执 法 机 关 的 实验 室 即 
使 是 受 政府 资助 的 ,也 要 必须 妨 终 坚持 中立”。 面 癌 社会 的 实验 室 更 是 要 求 具 有 独立 的 法 
人 资格 ,能够 独立 对 外 承担 责任 。 无 论 哪 种 鉴定 和 检验 机 构 , 部 是 以 委托 方式 提供 鉴定 服 
务 , 鉴 乍 人 作为 专家 证 人 出 许 作 证 。 在 " 洗 普 和 森 杀 妻 和 案 ” 中 ,者 名 华裔 法 寿 科 学 专家 李 旧 钛 就 
受聘 为 被 告 (辛普森 方 ) 进 行 专家 证 人 ,其 时 李 昌 钰 仅 代 表 日 己 ,利用 专业 知识 为 被 告 方 进行 
辩护 ; 瑞 国 内 政 部 下 的 司法 鉴定 监督 部 擎 握 痢 一 大 批 由 行业 协会 推 厦 的 专家 名 单 ,定期 公 
告 , 起 推荐 和 引导 鉴定 和 检验 作用 。 


8.4.2 国内 鉴定 和 检验 现状 


我 国 的 司法 机 关 狭 义 上 指 司 法 行政 部 门 ( 特 指 司 法 部 局 ), 从 广义 上 理解 也 可 以 包括 公 
安 机 关 、 人 民 检 察 院 `、 人 民法 院 、 国 家 安全 机 关 .司法 行政 机 关 、 车 队 保 卫 部 门 ,监狱 等 负责 刑 
事 侦 查 的 机 构 。 

传统 的 鉴定 和 检验 管理 权 主 要 由 公安 ,检察院 法院、 司法 部 门 共 同行 使 ,长 期 以 来 ,我 
国 司 法 鉴定 的 状态 是 “多 头 管理 . 乱 序 状态 ”。 公 安 机 关 、 检 穴 院 法 院 各 上 月 都 有 内 设 的 鉴定 
和 检验 机 构 ,而 司法 行政 部 门 作 为 行业 主管 ,又 管 着 众多 面 问 社会 的 鉴定 和 检验 机 构 , 由 此 
形成 的 “上 自 侦 目 鉴 ”“ 目 诉 自 鉴 ”“ 上 月 审 目 鉴 ”“ 自 管 目 鉴 ” 局 面 长 期 由 受 非议 ,严重 损害 了 鉴 
定 的 公信 力 。 

2005 年 2 月 28 日 ,十 届 全 国人 大 第 委 会 囊 十 四 次 会 议 通 过 由 关于 司法 鉴定 管理 问题 
的 决定 》( 简 称 “2. 28 决定 ”) ,并 于 同年 10 月 1 日 起 施行 。 这 是 目前 我 国 鉴 定 和 检验 领域 最 
高 层次 的 法 律 性 文件 。 《决定 》 的 实施 取消 了 法 院 和 司法 行政 部 门下 设 的 鉴定 和 检验 机 构 。 
将 鉴定 和 检验 机 构 的 执业 许可 管理 和 监督 的 权力 统一 归口 于 司法 行政 部 门 。 人 大 ”2. 28” 
决定 中 规定 “国务 院 司法 行政 部 门 主 管 全 国 鉴 定 人 和 鉴定 机 构 的 登记 管理 工作 。 省 级 人 民 
政府 司法 行政 部 门 依 照 本 决定 的 规定 ,负责 对 鉴定 人 和 鉴定 机 构 的 登记 、 名 册 编 制 和 公告 。?” 
根据 人 大 “2. 28” 决 定 , 公 安 部 ,司法 部 ,最 高 人 民法 院 , 最 高 人 民 检 察 院 、 国 家 安全 部 等 部 门 

又 出 台 了 多 个 文件 来 诠释 和 规范 鉴定 和 检验 活动 ,如 表 8. 1 所 示 。 


表 8.1 人 大 及 政法 部 门 发 布 的 鉴定 和 检验 相关 规章 和 规范 性 文件 名 


阶段 本 发 布 或 实施 日 期 法 规 名 称 及 文 号 
公安 部 刑事 技术 鉴定 规则 


i 司法 鉴定 人 管理 办 法 (司法 部 令 第 62 号 ); 


es 司法 鉴定 机 构 登 记 管 理 办 法 (司法 部 令 第 63 号 ) 
前 | 最 高 人 民法 院 |2001 年 11 月 16 日 | 人 民法 院 司法 鉴定 工作 暂行 规定 (法 发 L2001]23 号 ) 


中 https://www. gov. uk/government/organisations/forensic-science-regulator 


四 王 瑞 恒 , 论 我 国 司 法 鉴定 管理 权 部 门 间 配置 新 模式 . 北京 : 中 国 司 法 鉴定 ,2014. 
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续 表 


阶段 | ”发 布 机 关 发 布 或 实施 日 期 法 规 名 称 及 文 号 


全 国人 大 常委 会 关于 司法 鉴定 管理 问题 的 决定 


而 事 诉讼 法 
行政 诉讼 法 
民事 诉讼 法 
关于 学 习 贯 彻 ( 决 定 》 的 通知 ( 司 发 通 [2005]30 号 ) 

关于 司法 行政 部 门 所 属 司法 鉴定 机 构 管理 体制 调整 的 意见 
司法 鉴定 机 构 登 记 管理 办 法 (司法 部 令 第 95 号 ) 
司法 鉴定 人 管理 办 法 (司法 部 令 第 96 号 ) 
司法 鉴定 程序 通则 (司法 部 令 第 107 号 ) 
关于 贯彻 落实 《决定 ?进一步 加 强 公安 机 关 刑事 科学 技术 工 
作 的 通知 ( 公 通 字 [2005]19 号 ) 
公安 机 关 鉴 定 机 构 登 记 管理 办 法 (公安 部 令 第 83 号 ) 
公安 机 关 鉴 定 人 登记 管理 办 法 (公安 部 令 第 84 号 ) 
公安 机 关 鉴 定 规则 (公安 部 令 [2008] 第 86 号 ) 
关于 贯彻 (决定 ) 有 关 工作 的 通知 (高 检 发 办 字 [2005]11 号 ) 
人 民 检 察 院 鉴定 机 构 登 记 管理 办 法 (高 检 发 办 字 [2006]33 号 ) 
人 民 检 察 院 鉴定 人 登记 管理 办 法 (高 检 发 办 字 [2006]33 号 ) 
人 民 检察 院 鉴定 规则 (试行 )( 高 检 发 办 字 [2006]33 号 ) 


2005 年 4 月 20 日 


人 民 检 察 院 电子 证 据 鉴定 程序 规则 
国家 安全 部 、| 。 ，” “| 贯彻 落实 (决定 》, 进 一 步 加 强国 家 安全 机 关 司 法 鉴定 工作 的 
司法 部 2005 年 11 月 10 通知 


国家 安全 机 关 司 法 鉴定 机 构 管理 办 法 (试行 ) 
国家 安全 机 关 司 法 鉴定 人 管理 办 法 (试行 ) 


PT Fr 
| 2005 |12 与 》 


| 关于 地 方 各 级 人 民法 院 设立 司法 技术 辅助 工作 机 构 的 通知 
2006 年 9 月 25 日 (法 发 [2006]182 号 ) 

技术 咨询 ,技术 审核 工作 管理 规定 (法 办 发 [2007]5 号 ) 

对 外 委托 鉴定 ,评估 ,拍卖 等 工作 管理 规定 (法 办 发 [2007]5 号 ) 
关于 适用 (中华 人民 共 和 国 刑事 诉讼 法 ) 的 解释 

关于 办 理 网 络 犯罪 案件 适用 刑事 诉讼 程序 若干 问题 的 意见 


关于 做 好 《决定 ) 施 行 前 有 关 工 作 的 通知 ( 司 发 通 [2005]62 号 ) 
政法 五 部 门 2008 年 卫 月 20 日 关于 站 汪 革 定 可 可 和 辐 法 此 定 人 备案 司 记 工作 有 的 肖 和 


( 司 发 通 [2008]165 号 ) 


3 / 关于 进一步 完善 司法 鉴定 管理 体制 闭 选 国家 级 司法 鉴定 机 


注 ; 公安 部 ,司法 部 ,最 高 人 民法 院 、 最 高 人 民 检 察 院 、 国 家 安全 部 简称 政法 五 部 门 


国家 安全 部 


最 蜗 人 民法 院 
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在 人 大 "2.28? 决 定 和 各 部 门 法 规 共 同 作 用 下 ,我 国 建立 了 符合 中 国 实际 发 展 的 鉴定 和 
检验 体系 。 这 个 体系 规范 了 鉴定 和 检验 的 范围 和 谁 入 制度 , 较 好 的 平衡 了 鉴定 和 检验 的 各 
方面 诉求 。 目 前 我 国 的 鉴定 和 检验 结构 是 司法 行政 部 门 统一 管理 .各 业务 部 门 具 体 实 施 , 主 
要 由 面 癌 社会 的 服务 性 司法 鉴定 机 构 和 侦查 机 关 的 职权 司法 鉴定 机 构 组 成 : 

1. 服务 性 的 社会 司法 鉴定 机 构 

在 司法 部 统一 管理 ,并 注册 备案 的 面 辐 社会 的 服务 性 的 司法 鉴定 和 检验 机 构 , 具 备 “ 第 
三 方 ” 中 立 属性 ,允许 收费 ,具有 营利 性 质 ,接受 社会 及 司法 部 门 的 委托 ,解决 涉及 诉讼 中 的 
大 多 数 问题 。 

2. 职权 性 的 执法 部 门 鉴定 机 构 

公安 ,检察院 ,国家 安全 部 门 根据 侦查 工作 需要 建立 的 鉴定 和 检验 机 构 , 依 据 其 职权 进 
行 鉴定 ,主要 为 刑事 案件 的 侦查 服务 。 这 些 鉴定 和 检验 机 构 不 得 面 回 社会 接受 委托 从 事 鉴 
定 和 检验 业务 ,不 允许 收费 。 目 成 体系 ,与 社会 服务 性 的 鉴定 和 检验 体系 并 存 。 

两 类 鉴定 和 检验 机 构 在 法 律 要 求 .鉴定 技术 标准 、 仪 硕 设 备 配 置 、. 鉴定 绪论 的 真实 性 和 
合法 性 保证 等 方面 并 无 差异 。 

司法 部 数据 显示 ,2013 年 ,我国 经 司法 行政 机 关 核 准 登记 的 司法 鉴定 和 检验 机 构 达 
4876 余 冢 ,鉴定 人 55206 名 ,各 类 检 案 数量 从 2005 年 的 26 万 件 上 升 到 2010 年 的 167 万 余 
件 。 职 权 性 司法 鉴定 机 构 以 公安 机 关 为 例 ,2011 年 全 国共 有 鉴定 和 检验 机 构 3560 个 ,鉴定 
和 检验 案件 230 万 余 起 。 


8.5 鉴定 和 检验 资质 


我 国 是 “大 陆 法 系 ” 国 家 ,鉴定 和 检验 根据 职权 主义 原则 ,要 求 有 一 定 的 准 入 条 件 。 这 些 
准 入 条 件 在 人 大 “2. 28” 决 定 和 各 部 门 规定 中 均 有 所 体现 。 对 于 不 具备 鉴定 和 检验 资质 的 机 
构 和 个 人 ,不 允许 进行 司法 鉴定 活动 。 司 法 鉴定 资质 从 根本 上 包括 司法 鉴定 机 构 资 质 和 司 
法 鉴定 人 资质 。 检 验资 质 目 前 还 没有 具体 规定 ,可 以 比照 鉴定 资质 进行 管理 。 
8.5.1 鉴定 机 构 的 要 求 

人 大 “2. 28” 决 定 第 六 条 规定 了 “申请 从 事 司法 鉴定 业务 的 个 人 法 人 或 者 其 他 组 织 ,由 
省 级 人 民政 府 司法 行政 部 门 审 核 , 对 符合 条 件 的 予以 登记 , 编 人 鉴定 人 和 鉴定 机 构 名 册 并 公 
告 .” 对 司法 鉴定 机 构 的 条 件 进行 以 下 规定 : 

法 人 或 者 其 他 组 织 申请 从 事 司 法 鉴定 业务 的 ,应 当 具 备 下 列 条 件 : 

1. 有 明确 的 业务 范围 

法 人 或 者 其 他 组 织 申请 从 事 司 法 鉴定 业务 必须 有 业务 范围 。 业 务 范 围 表 明了 鉴定 机 构 


上 四 ” 李 力 ,党 效 云 .2013 年 度 全国 司 法 鉴定 情况 统计 分 析 . 北京 : 中 国 司 法 鉴定 ,2014. 
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的 鉴定 活动 所 涉及 的 专业 领域 ,是 鉴定 机 构 目 号 定 位 的 重要 依据 。 其 次 ,法 人 或 者 其 他 组 织 
所 申请 从 事 的 鉴定 业务 的 范围 必须 是 明确 的 。 申 请 时 必须 提出 明确 的 鉴定 事项 范围 ,如 声 
像 贤 料 鉴 定 鉴定 业务 。 

2. 有 在 业务 范围 内 进行 司法 鉴定 所 必需 的 仪 葵 .设备 

这 里 规定 的 “必需 的 仪 、 设 备 ” ,应 当 根 据 申 请 从 事 鉴定 业务 的 范围 来 确定 。 根 据 鉴定 
的 范围 ,如 条 不 需要 该 仪 闪 、 设备, 则 不 能 硬性 要 求 申 请 人 具备 该 仪 囊 、 设备 ; 如 来 从 事 所 申 
请 的 鉴定 业务 该 仪 囊 、 设 备 是 起 码 的 条 件 , 不 具备 该 仪 融 、 设备, 则 不 能 批准 该 鉴定 机 构 的 


3. 有 在 业务 范围 内 进行 司法 鉴定 所 必需 的 依法 通过 计量 认证 或 者 实验 室 认 可 的 检测 


司法 部 于 2005 年 9 月 29 日 颁布 了 095 号 部 长 令 《 司 法 鉴定 机 构 管 理 办 法 》 公安 部 于 
2005 年 11 月 7 日 颁布 了 了 83 号 部 长 令 4 公 安 机 关 鉴 定 机 构 登 记 管 理 办 法 》; 最 高 检 2006 年 
11 月 30 日 颁布 的 (人 民 检 察 院 鉴 定 机 构 登 记 管 理 办 法 》。 这 三 个 办 法 中 均 规定 鉴定 机 构 应 
是 :“ 有 在 业务 范围 内 进行 鉴定 必需 的 依法 通过 计量 认证 或 者 实验 室 认 可 的 检测 实验 室 。” 

其 中 “计量 认证 ”GMA) 具 有 法 律 强制 性 ,认定 结果 在 国内 具有 法 律 效力 ,但 是 不 被 国 
际 互 认 。 根 据 认 证 机 天 不 同 分 为 国家 级 资质 认定 和 省 级 资质 认定 ; 通过 计量 认证 的 ,一 般 
颁发 《计量 认证 证 书 》;“ 实 验 室 认 可 ”是 日 愿 参加 ,认可 结果 国际 互 认 ,通过 实验 室 认可 的 ， 
颁发 《实验 室 认 可 证 书 》。 目 前 鉴定 /检验 机 构 参 加 较 多 的 是 “实验 室 认 可 ”。 

根据 此 款 规定 ,包括 电子 数据 鉴定 在 内 的 “三 大 类 ”司法 鉴定 机 构 依 法 通过 计量 认证 或 
认可 成 为 其 合法 从 业 的 法 定 必 备 条 件 之 一 。 电 子 数 据 司法 鉴定 机 构 认 可 的 结果 是 电子 数据 
司法 鉴定 机 构 市 场 准 入 和 执业 的 重要 依据 ,通过 依法 实施 资质 认定 或 认可 ,可 以 确认 和 保障 
电子 数据 司法 鉴定 机 构 具 备 了 符合 认证 认可 准则 要 求 的 持续 的 技术 条 件 和 技术 能 力 ,能 够 
客观 、 公 正和 独立 地 从 事 电 子 数据 司法 鉴定 的 检测 。 

法 律 法 规 的 要 求 使 得 鉴定 机 构 需 要 进行 认证 或 者 认可 成 为 强制 性 要 求 ,无论 公安 机 关 、 
检察 机 关 还 是 作为 社会 第 三 方 的 司法 鉴定 机 构 都 必须 进行 计量 认证 或 实验 室 认 可 。 建 立 完 
善 的 质量 管理 体系 保证 鉴定 质量 。 通 过 认证 认可 成 为 鉴定 机 构 准 入 和 执业 的 基本 条 件 。 

4. 每 项 司法 鉴定 业务 有 三 名 以 上 鉴定 人 

这 里 说 的 “鉴定 人 ”, 是 指 符 合 人 大 “2. 28” 决 定 规定 的 鉴定 从 业 条 件 的 人 员 。 这 就 说 明 
了 司法 鉴定 资质 是 司法 鉴定 机 构 和 司法 鉴定 人 资质 缺 一 不 可 的 。 

司法 部 根据 人 大 “2. 28” 决 定 , 建 立 完善 了 司法 鉴定 机 构 登 记 管 理 办 法 (司法 部 令 第 95 
号 ) ,司法 鉴定 机 构 仪 各 设备 配置 标准 (司法 通 [20111]323 号 ) ,对 社会 司法 鉴定 机 构 的 准 人 
进行 规定 。 但 是 在 实际 工作 情况 中 ,诉讼 的 审判 裁决 部 门 - 法 院 部 门 根据 人 大 “2. 28” 规 定 ， 
虽然 取消 了 内 部 的 司法 鉴定 部 门 , 但 是 建立 了 对 外 委托 的 司法 鉴定 机 构 名 册 制 度 , 对 于 未 能 
进入 名 册 的 鉴定 机 构 , 原 则 上 不 子 认可 。 因 此 ,社会 执业 的 司法 鉴定 机 构 ,| 除 了 满足 人 大 , 司 
法 部 门 的 法 律 法 规 规定 外 ,还 需要 进入 到 法 院 的 名 册 内 ,才能 正 稼 的 开展 司法 鉴定 活动 。 
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而 且 , 由 于 我 国 司法 鉴定 体系 分 为 职权 司法 鉴定 和 服务 社会 司法 鉴定 两 部 分 ,实际 情况 
看 ,公安 检察院、 国家 安全 部 门 对 自己 的 职权 类 司法 鉴定 又 有 着 不 同 的 规定 。 

人 大 “2. 28” 决 定 规定 ,执法 部 门 根 据 侦 查 工 作 的 需要 设立 的 鉴定 机 构 , 除 办 理 自 行 侦 
查 的 案件 时 进行 鉴定 以 外 ,不 得 面 癌 社会 接受 委托 从 事 司 法 鉴定 业务 ”。 不 人 允许 执法 部 门 参 
与 对 外 服务 的 营利 性 司法 鉴定 活动 ,但 同时 赋予 了 公安 ,检察院 、 国 家 安全 这 些 执法 部 门 自 
行规 定 内 部 司法 鉴定 的 权力 。 

公安 部 门 根据 "2. 28” 决 定 , 相 继 颁 布 了 《关于 贯彻 落实 (决定 ) 进 一 步 加 强 公 安 机 关 刑 事 
科学 技术 工作 的 通知 》《 公 安 机 关 鉴 定 机 构 登 记 管理 办 法 》。 建 立 了 公安 机 关 鉴 定 机 构 和 鉴 
定 人 登记 管理 制度 。 公 安 机 关 规 定 鉴 定 机 构 的 准 入 条 件 除 了 人 大 "2. 28” 规 定之 外 ,还 增加 
了 “有 适合 鉴定 工作 的 办 公 和 业务 用 房 ; 有 在 业务 范围 内 进行 鉴定 必需 的 资金 保障 ; 有 完 
备 的 检验 鉴定 工作 管理 制 * 规 定 , 这 就 从 机 构 人 硬件 和 管理 上 做 了 进一步 的 保障 。 

检察 部 门 和 国家 安全 部 门 也 相继 出 台 了 内 部 的 司法 鉴定 机 构 管 理 办 法 ,规范 了 内 部 的 
司法 鉴定 活动 。 

为 了 配合 人 大 “2. 28” 的 顺利 推行 ,统一 各 执法 部 门 的 司法 鉴定 机 构 的 管理 。2008 年 1 
月 17 日 中 央 政 法 委 颁 发 《关于 进一步 完善 司法 鉴定 管理 体制 遵 选 国 家 级 司法 鉴定 机 构 的 意 
见 》( 政 法 L2008]2 号 )。 其 中 规定 ,检察 .公安 和 国家 安全 机 关 所 属 鉴 定 机 构 和 鉴定 人 实行 
所 属 部 门 直 接管 理 体制 和 司法 行政 部 门 备 案 登 记 相 结合 的 管理 模式 ; 检察 .公安 .国家 安全 
机 关 管 理 本 系统 所 属 鉴定 机 构 和 鉴定 人 ; 对 经 审查 合格 的 鉴定 机 构 和 鉴定 人 ,由 最 高 人 民 
检察 院 、 公 安 部 、 国 家 安全 部 和 省 级 检察 .公安 、 国 家 安全 机 关 分 别 回 同 级 司法 行政 部 门 免 费 
备案 登记 ; 检察 、 公 安 .国家 安全 机 关内 设 鉴定 机 构 经 司法 行政 部 门 备案 登记 并 公告 后 , 依 
法 接受 司法 机 关 委 托 开 展 非 营 业 性 的 司法 鉴定 服务 。 

这 就 又 一 次 具体 规定 了 执法 部 门 内 部 鉴定 机 构 , 也 需要 进行 司法 备案 公示 制度 。 将 “ 形 
式 " 上 的 管理 权 统 一 由 司法 行政 部 门 行 使 ,人 公安、 检察院、 法 院 等 各 上 月 范围 内 行使 实质” 管 
理 权 。 

同时 ,也 充分 考虑 了 执法 部 门 所 属 的 鉴定 机 构 , 是 专门 为 侦查 活动 提供 技术 支持 的 机 
构 ,作为 执法 部 门 的 一 部 分 ,虽然 不 面 回 社 会 接受 委托 从 事 经 营 性 的 有 偿 的 司法 鉴定 业务 ， 
以 保持 政府 机 构 的 廉洁 性 和 公正 形象 。 但 是 ,目前 鉴定 队伍 的 主干 力量 是 在 执法 部 门 的 鉴 
定 人 员 。 尤 其 是 在 诉讼 中 普 过 运用 的 法 医 类 .物证 类 和 声 像 资料 鉴定 .电子 数据 鉴定 等 方 
面 ,执法 部 门 内 部 尤其 是 在 公安 机 关 设 立 的 鉴定 机 构 ,配备 了 技术 标准 较 高 的 仪 需 设 备 和 业 
务 精湛 的 鉴定 人 员 。 因 此 ,构建 主管 部 门 直接 管理 和 司法 行政 部 门 备 案 登 记 相 结合 的 管理 
模式 了 ,在 坚持 不 允许 执法 部 门 设立 的 鉴定 机 构 面 向 社会 开展 经 营 性 的 有 偿 服 务 原则 的 同 
时 ,充分 利用 这 些 鉴定 机 构 所 掌握 的 人 员 和 设备 等 资源 ,保障 各 类 诉讼 活动 的 正常 进行 。 


@ 《关于 做 好 司法 鉴定 机 构 和 司法 鉴定 人 备案 登记 工作 的 通知 多 司 发 通 [2008]j165 号 ) 
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8.5.2 鉴定 人 的 要 求 

司法 鉴定 人 需要 利用 专业 知识 ,按照 相关 方法 ,提出 鉴定 意见 ,并 根据 需要 出 庭 接受 咨 
询 。 要 求 具有 人 解决 专门 性 问题 的 科学 知识 ,技术 水 平 及 经 验 , 同 时 具有 和 较 高 的 职业 操守 、 询 
悉 相 关 法 律 法 规 。 鉴 定 人 是 整个 司法 鉴定 制度 的 “核心 ”。 

人 大 “2. 28” 决 定 规定 ,具备 下 列 条 件 之 一 的 人 员 ,可 以 申请 登记 从 事 司法 鉴定 业务 : 

(1) 具有 与 所 申请 从 事 的 司法 鉴定 业务 相关 的 高 级 专业 技术 职称 ; 

(2) 具有 与 所 申请 从 事 的 司法 鉴定 业务 相关 的 专业 执业 资格 或 者 高 等 院 校 相关 专业 本 
科 以 上 学 历 , 从 事 相 关 工 作 五 年 以 上 ; 

(3) 具有 与 所 申请 从 事 的 司法 鉴定 业务 相关 工作 十 年 以 上 经 历 , 具 有 较 强 的 专业 技能 。 

因 故 意 犯罪 或 者 职务 过 失 犯 罪 受 过 刑事 处 罚 的 ,受过 开除 公职 处 分 的 ,以 及 被 撤销 鉴定 
人 登记 的 人 员 ,不 得 从 事 司 法 鉴定 业务 。 

《决定 ) 中 的 司法 鉴定 人 主要 是 指法 医 类 鉴定 ,物证 类 鉴定 、 声 像 资料 类 (“三 大 类 ”) 鉴 定 
的 鉴定 人 。 个 人 只 要 满足 以 上 条 件 , 就 可 以 申请 成 为 社会 司法 鉴定 人 ,并 与 司法 鉴定 机 构 确 
定 聘用 关系 后 , 即 可 执业 。 

公安 机 关 , 检 察 部 门 和 国家 安全 部 门 内 部 鉴定 人 的 要 求 更 为 严格 。《 公 安 机 关 鉴 定 人 登 
记 管 理 办 法 3》 规定 , “公安 部 和 各 省 .自治 区 .直辖 市 公安 厅 .局 设立 或 者 指定 统一 的 登记 管理 
部 门 ,负责 公安 机 关 鉴 定 人 鉴定 资格 的 审核 登记 、 年 审 、 变 更 .注销 复议、 名册 编制 与 公告 、 
监督 管理 与 处 昼 等 ”, 同 时 规定 鉴定 人 “具有 与 所 申请 从 事 鉴 定 业 务 相 关 的 高 级 专业 技术 职 
务 资格 ; 或 者 具有 与 所 申请 从 事 鉴定 业务 相关 的 法 医 官 , 鉴 定 官 专业 技术 职务 执业 资格 或 
者 高 等 院 校 相关 专业 本 科 以 上 学 历 , 从 事 相 关 工 作 五 年 以 上 ; 或 者 具有 与 所 申请 从 事 鉴 定 
业务 相关 工作 十 年 以 上 经 历 和 较 强 的 专业 技能 ”。 

除了 准 入 条 件 , 司 法 鉴定 人 由 于 其 特殊 性 ,还 有 有 别 于 其 他 诉讼 参与 人 的 特殊 规定 : 

1. 公正 性 

鉴定 人 要 确保 自己 在 检验 鉴定 活动 中 处 于 第 三 方 中 立 地 位 ,不 能 作为 委托 方 及 其 关系 
方 的 授权 代表 ,确保 与 委托 方 及 委托 方 的 关系 方 没 有 任何 利益 关系 ; 同时 抵制 来 自行 政 的 、 
经 济 的 和 其 他 方面 的 干预 和 影响 ; 作为 司法 鉴定 人 员 , 司 法 鉴定 结论 关系 到 法 律 公平 正义 ， 
要 坚持 “慎独 ”, 主动 抵制 外 界 压 力 ,不 能 在 司法 鉴定 活动 中 有 所 偏 祖 或 者 出 具 虚 假 报 告 ,由 
此 造成 的 金 假 错案 不 但 会 影响 到 法 律 公平 实施 ,也 直接 违背 司法 鉴定 人 职业 操守 。 

除 有 法 律 法 规 规定 的 情形 外 ,鉴定 人 需要 对 下 列 信息 保守 秘密 . 

(1) 委托 方 提交 的 检验 物品 、 检 验 材 料 .技术 资料 法律 文书 ; 

(2) 委托 方 有 关 国 家 机 密 、 商 业 秘密 .技术 信息 以 及 其 他 秘密 材料 ; 

(3) 检验 鉴定 过 程 中 知悉 的 当事人 的 个 人 隐私 ; 

(4) 检验 鉴定 的 各 项 原始 数据 及 结果 ; 
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(5) 国家 和 上 级 管理 部 门 规定 的 保护 秘密 和 所 有 权 信息 等 ; 

(6) 委托 方 的 其 他 特殊 保护 秘密 和 所 有 权 要 求 。 

综 上 ,司法 鉴定 资质 包括 司法 鉴定 机 构 的 资质 和 司法 鉴定 人 的 资质 , 缺 一 不 可 。 司 法 鉴 
定 机 构 本 身 具备 机 构 鉴 定 资质 外 ,每 项 司法 鉴定 业务 还 必须 有 司法 鉴定 资质 的 三 名 以 上 鉴 
定 人 。 而 具有 司法 鉴定 资质 的 鉴定 人 ,必须 与 司法 鉴定 机 构 有 隶属 或 者 聘用 关系 ,这 是 为 了 
保证 诉讼 参与 方 的 权益 。 因 此 ,如 果 在 诉讼 中 ,司法 鉴定 机 构 出 具 的 司法 鉴定 文书 中 ,缺少 
司法 鉴定 机 构 的 资质 或 者 司法 鉴定 人 的 资质 任何 一 项 ,都 为 无 效 鉴定 文书 。 


8.5.3 检验 机 构 和 检验 人 的 要 求 


人 大 “2.28” 决 定 仅仅 明确 规定 了 “三 大 类 ”的 鉴定 项 目 。 因 此 对 于 不 属于 “三 大 类 ”的 鉴 
定 项 目 ,按照 刑 诉 法 及 法 律 解释 的 要 求 ,可 以 利用 检验 来 完成 。 可 以 指派 .聘请 有 专门 知识 
的 人 进行 检验 ,其 出 具 的 检验 报告 可 以 作为 定罪 量刑 的 参考 。 对 检验 报告 的 审查 与 认定 , 参 
照 适用 鉴定 的 有 关 规 定 。 这 就 明确 了 检验 机 构 和 检验 人 按照 鉴定 的 相关 要 求 了 以 规范 。 在 
当前 司法 行政 部 门 和 相关 执法 部 门 还 未 对 检验 机 构 和 检验 人 的 相关 质 质 有 明确 规定 的 情况 
下 ,应 当 比 对 鉴定 机 构 和 鉴定 人 进行 管理 。 并 不 能 因为 其 不 适用 于 鉴定 机 构 和 鉴定 人 的 相 
天 管理 规定 ,而 拒绝 其 参与 到 司法 诉讼 活动 中 。 


8.6 电子 数据 答 定 /检验 


随 独 信息 网 络 的 不 断 发 展 和 应 用 ,电子 数据 在 生活 和 工作 无 处 不 在 。 电 子 数据 司法 鉴 
定 作 为 司法 鉴定 的 一 个 子 类 ,不 可 能 孤立 地 存在 和 发 展 ,必然 与 司法 鉴定 的 发 展 密 切 相 关 。 
法 律 诉 讼 中 对 于 电子 数据 鉴定 的 需求 逐渐 增多 ,根据 司法 部 司法 鉴定 管理 局 公布 的 相关 数 
据 ,电子 效 据 相关 的 司法 鉴定 业务 量 ,2007 年 为 819 件 ( 其 中 ,电子 数据 类 412 件 .计算 机 鉴 
定 类 407 件 ) ,2013 年 为 1510 件 ( 其 中 ,电子 数据 类 570 件 、 计 算 机 鉴定 类 940 件 ), 呈 逐 潮 
上 之 于 


8.6.1 电子 数据 鉴定 /检验 的 法 律 要 求 


电子 数据 鉴定 /检验 即 为 “诉讼 活动 中 ,鉴定 /检验 人 利用 计算 机 科学 技术 或 者 知识 , 针 
对 电子 数据 进行 鉴别 和 判断 并 提供 鉴定 意见 或 检验 报告 的 活动 ”。 

1. 电子 数据 鉴定 /检验 的 法 律 效力 

根据 人 大 “2.28” 决 定 , 电 子 数据 不 属于 “三 大 类 ”司法 鉴定 ,而 是 “根据 诉讼 需要 由 对 国 
务 院 司 法 行政 部 门 最 遍 人 民法 院 、 最 局 人 民 检 察 院 确定 的 其 他 应 当 对 鉴定 人 和 鉴定 机 构 实 
行 登记 定理 的 鉴定 事项 "类别 。 因 此 ,长 期 以 来 ,地 方 司法 鉴定 行政 管理 机 构 往 往 将 电子 数 


中 李 图, 党 姿 云 .2013 年 度 全 国 司法 鉴定 情况 统计 分 析 . 北京 : 中 国 司法 鉴定 ,2014. 
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据 司 法 鉴定 归 类 于 “计算 机 鉴定 ”, 甚 至 归 类 于 “ 声 像 资 料 ” 中 ,这 极 大 地 阻碍 了 电子 数据 司法 
鉴定 的 发 展 。 

2012 年 3 月 修订 的 《刑事 诉讼 法 ) 第 四 十 八条 第 八 项 ,将 “电子 数据 ”与 “视听 资料 ”并 列 
为 一 类 证 据 类 型 。2012 年 8 月 修订 的 《民事 诉讼 法 ) 第 六 十 三 条 第 五 项 规定 证 据 包 括 “ 电 子 
证 据 ”。2014 年 12 月 修订 的 《行政 诉讼 法 》 第 三 十 四 条 第 四 项 规定 证 据 包括 “电子 数据 ”。 
这 从 立法 上 ,将 “电子 数据 ”明确 为 证 据 种 类 之 一 。 

2. 电子 数据 鉴定 /检验 的 法 律 规定 

2013 年 1 月 1 日 施行 的 《最 高 人 民法 院 关 于 适用 (中 华人 民 共 和 国 刑事 诉讼 法 ) 的 解 
释 ) 第 六 十 五 条 规定 “行政 机 关 在 行政 执法 和 查办 案件 过 程 中 收集 的 物证 \ 书 证 ,视听 资料 、 
电子 数据 等 证 据 材 料 ,在 刑事 诉讼 中 可 以 作为 证 据 使 用 ; 经 法 庭 查证 属实 , 且 收 集 程序 符合 
有 关 法 律 .行政 法 规 规 定 的 ,可 以 作为 定案 的 根据 ”。 

第 九 十 三 条 规定 “对 电子 邮件 .电子 数据 交换 .网 上 聊天 记录 .博客 、 微 博客 .手机 短信 、 
电子 签名 .域名 等 电子 数据 ,应 当 着 重审 查 以 下 内 容 : 

(一 ) 是 否 随 原始 存储 介质 移送 ; 在 原始 存储 介质 无 法 封存 ,不便 移动 或 者 依法 应 当 由 
有 关 部 门 保管 处理. 返还 时 ,提取 、 复 制 电子 数据 是 否 由 二 人 以 上 进行 ,是 否 足 以 保证 电子 
数据 的 完整 性 ,有 无 提取 、 复 制 过 程 及 原始 存储 介质 存放 地 点 的 文字 说 明和 签名 ; 

(二 ) 收集 程序 .方式 是 否 符合 法 律 及 有 关 技 术 规 范 ; 经 勤 验 、 检 查 .搜查 等 侦查 活动 收 
集 的 电子 数据 ,是否 附 有 笔录 清单 ,并 经 侦查 人 员 .电子 数据 持 有 人 、 兄 证 人 签名 ; 没有 持 
有 人 签名 的 ,是 否 注 明 原因 ; 远程 调 取 境外 或 者 异地 的 电子 数据 的 ,是 否 注 明 相关 情况 ; 对 
电子 数据 的 规格 、 类 别 、 文 件 格 式 等 注 明 是 否 清 楚 ; 

三 ) 电子 数据 内 容 是 否 真实 ,有 无 删除 、 修 改 、 增 加 等 情形 ; 

(四 ) 电子 数据 与 案件 事实 有 无 关联 ; 

(五 ) 与 案件 事实 有 关联 的 电子 数据 是 否 全 面 收集 。 

对 电子 数据 有 疑问 的 ,应 当 进 行 鉴定 或 者 检验 。?” 

2015 年 2 月 4 日 施行 的 (最 高 人 民法 院 关 于 适用 (中 华人 民 共 和 国民 事 诉 讼 法 ) 的 解 
释 ) 第 一 百 一 十 六 条 规定 “电子 数据 是 指 通 过 电子 邮件 .电子 数据 交换 、 网 上 聊天 记录 、 博 客 、 
微 博客 .手机 短信 电子 签名 ,域名 等 形成 或 痢 存储 在 电子 介质 中 的 信息 。 存 储 在 电子 介质 
中 的 录音 资料 和 影像 资料 ,适用 电子 数据 的 规定 。” 


8.6.2 电子 数据 鉴定 /检验 的 资质 问题 


由 于 电子 数据 是 最 新 的 证 据 类 型 ,人 大 “2. 28” 决 定 中 ,没有 将 其 归于 “三 大 类 ”中 。 在 司 
法 实践 中 ,各 地 的 司法 行政 部 门 有 的 按照 三 大 类 内 “ 声 像 资料 ”进行 绾 理 、. 有 的 按照 “三 大 类 ” 
外 进行 省 理 ,但 虱 按 照 司法 诉讼 的 需要 ,在 加 强 管理 的 同时 赋予 社会 服务 类 的 鉴定 机 构 以 鉴 
刑事 侦查 对 于 电子 数据 的 需要 也 促进 了 职权 鉴定 部 门 对 于 电子 数据 鉴定 /检验 机 构 的 
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建设 和 管理 。 但 是 在 实际 工作 中 ,对 于 鉴定 相关 法 律 法 规 的 理解 和 侦查 业务 方向 ,导致 公安 
机 关内 部 对 于 电子 数据 的 资质 问题 有 着 不 同 的 意见 。 因 此 ,在 司法 实践 中 ,在 人 大 “2. 28” 和 
相关 法 律 法 规 对 于 电子 数据 的 规定 尚未 明确 的 前 提 下 ,相关 部 门 出 台 了 一 系列 的 司法 解释 
和 规定 ,完善 和 规范 电子 数据 的 使 用 ,也 从 侧面 赋予 了 检验 工作 的 资质 。 

最 高 人 民法 院 4 关 于 适用 《中华 人民 共和 国 刑事 诉讼 法 的 解释 》 八 十 七 条 "对 案件 中 的 
专门 性 问题 需要 鉴定 ,但 没有 法 定 司 法 鉴定 机 构 ,或 者 法 律 .司法 解释 规定 可 以 进行 检验 的 ， 
可 以 指派 .聘请 有 专门 知识 的 人 进行 检验 ,检验 报告 可 以 作为 定罪 量刑 的 参考 。” 

2014 年 7 月 20 日 发 布 的 最 高 人 民法 院 《 关 于 办 理 网 络 犯罪 案件 适用 刑事 诉讼 程序 硅 
干 问题 的 意见 第 十 八条 “对 电子 数据 涉及 的 专门 性 问题 难以 确定 的 ,由 司法 鉴定 机 构 出 具 
鉴定 意见 ,或 者 由 公安 部 指定 的 机 构 出 具 检 验 报 告 。” 

上 述 司法 解释 ,解决 了 相关 部 门 或 机 构 , 例 如 网 络 安全 保卫 部 门 的 资质 问题 ,这 些 部 门 
未 取得 司法 鉴定 资质 ,但 是 实际 上 具有 对 电子 数据 进行 分 析 判 断 的 技术 条 件 和 相关 人 员 ,可 
以 通过 公安 部 门 指定 的 方式 赋予 其 对 电子 数据 进行 检验 的 资质 。 这 些 司法 解释 按照 我 国 的 
法 律 实际 情况 ,明确 了 电子 数据 司法 鉴定 的 地 位 和 适用 范围 。 也 从 司法 实践 中 ,将 检验 作为 
鉴定 的 必要 补充 ,从 而 完善 了 电子 数据 的 鉴定 和 检验 体系 。 电 子 数据 检验 工作 也 要 比照 鉴 
定 的 相关 要 求 , 做 到 主体 程序 .步骤 方法、 标准 和 结果 符合 法 律 规定 。 


8.6.3 电子 数据 鉴定 /检验 的 特点 


1. 法 律 性 

法 律 性 是 电子 数据 鉴定 和 检验 的 根本 基础 。 电 子 数据 鉴定 和 检验 活动 必须 严格 遵守 国 
家 法 律 ,法规 的 规定 。 法 律 性 是 评判 鉴定 和 检验 过 程 合 法 和 鉴定 结论 具备 证 据 效力 的 前 提 。 
鉴定 和 检验 的 法 律 要 求 主要 体现 在 主体 合法 ; 材料 合法 ; 程序 合法 ; 步骤 、 方 法、 标准 合法 ; 
结果 合法 五 个 方面 : 

(1) 主体 机 构 必 须 是 按 法 律 法规 规 定 ,取得 鉴定 资质 的 机 构 。 鉴 定 人 必须 是 获得 鉴定 
人 执业 许可 证 的 自然 人 。 对 于 没有 法 定 司法 鉴定 机 构 ,或 者 法 律 .司法 解释 规定 可 以 进行 检 
验 的 ,可 以 指派 、 聘 请 有 专门 知识 的 人 进行 检验 2。 

(2) 鉴定 和 检验 的 一 切 活动 都 是 围绕 送 检 材料 而 展开 的 。 电 子 数 据 鉴定 /检验 不 同 于 
传统 鉴定 /检验 ,其 鉴定 /检验 对 象 为 电子 数据 ,一般 保 存在 硬盘 、 闪 存盘 、 网 络 中 ,存储 形式 
为 虚拟 形式 ,需要 专用 设备 才能 读 取 和 分 析 。 同 时 电子 数据 具有 动态 性 ,例如 内 存 中 的 数 
据 ,往往 处 于 变化 中 。 电 子 数 据 还 具有 易 失 性 ,提取 的 时 机 和 方法 不 当 , 就 会 造成 证 据 损 毁 
或 灭失 。 因 此 送 检 材料 的 真实 性 和 完整 性 是 鉴定 和 检验 客观 真实 的 基础 。 送 检 材 料 必须 保 
证 来 源 和 接收 符合 相关 法 律 和 规定 ,确保 不 被 污染 或 者 算 改 。 

(3) 程序 合法 性 ,包括 鉴定 和 检验 的 启动 .受理 .实施 ; 补充 鉴定 和 检验 .重新 鉴定 和 检 


中 最 高 人 民法 院 关 于 适用 (中 华人 民 共 和 国 刑事 诉讼 法 ) 的 解释 第 八 十 七 条 。 
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验 等 各 个 环节 上 必须 符合 诉讼 法 和 其 他 相关 法 律 法 规 和 部 门 规章 的 规定 。 

(4) 鉴定 和 检验 的 步骤 方法 应 当 是 经 过 法 律 确认 的 `\ 有 效 的 ,鉴定 和 检验 标准 要 符合 
国家 法 定 标 准 或 部 门 (行业 ) 标 准 。 

(5) 鉴定 和 检验 文书 必须 具备 法 律 规定 的 文书 格式 和 各 项 内 容 , 电 子 数据 的 结论 是 “ 定 
量 ”“ 定 性 ”或 者 二 痢 首 有 ,鉴定 和 检验 结论 必须 伯 合 证 据 要 求 和 法 律 规 范 。 鉴 定 和 检验 结 
论 要 经 过 法 庭 的 质证 。 

2. 中 立 性 

“中 立 性 ”是 电子 数据 鉴定 和 检验 活动 的 内 在 要 求 。 电 子 数据 鉴定 和 检验 的 主要 功能 是 
从 科学 技术 的 角度 协助 司法 机 关 针 对 专门 性 问题 进行 确认 ,本 质 上 要 求 其 必须 是 中 立 的 ,不 
能 为 任何 一 方 的 利益 所 动 。 这 包括 机 构 、 鉴 定 / 检 验 人 ,方法 和 过 程 的 “中 立 性 ”。 

机 构 的 “中 立 性 ”。 鉴 定 /检验 机 构 作 为 第 三 方 ,必须 独立 来 进行 鉴定 /检验 活动 。 鉴 定 / 
检验 机 构 接 受 委 托 ,并 不 是 为 哪个 诉讼 主体 服务 ,无 论 是 当事人 还 是 司法 行政 机 关 ,鉴定 / 检 
验 机 构 应 当 材 承 “ 公 正 司 法 ”的 原则 ,为 法 律 服务 。 鉴 定 / 检 验 机 构 依 徘 “ 中 立 性 ”保障 司法 鉴 
定 意 见 / 检 验 报告 的 证 明 力 、 权威 性 .公正 性 。 

鉴定 /检验 人 的 "中立 性 ”。 根 据 《 司 法 鉴定 程序 通则 》， 鉴 定 活动 需要 二 名 或 二 名 以 上 
的 司法 鉴定 人 进行 ,每 名 鉴定 人 必须 根据 鉴定 材料 和 检查 结果 发 表 各 上 月 的 鉴定 意见 ,其 鉴定 
意见 必须 是 独立 性 的 ,不 受 他 人 干扰 的 "。 这 了 就 确保 了 鉴定 意见 能 够 被 元 分 、 完 整 的 曾 述 ,不 
受 个 人 的 影响 。 检 验 人 也 但 特 上述 规 定 。 

活动 的 “中立 性 ?。 鉴 定 /检验 机 构 利 用 完善 的 内 部 管理 制度 或 者 CNAS-CL08: 2013 
《司法 鉴定 法 庭 科学 机 构 能 力 认 可 准则 》 来 保证 鉴定 /检验 过 程 的 “中 立 性 ”, 来 确保 鉴定 / 检 
验 过 程 不 受 人 为 干扰 ,确保 鉴定 /检验 质量 。 

3. 专业 性 

专业 性 是 电子 数据 鉴定 和 检验 客观 性 的 技术 保障 。 电 子 数 据 鉴定 和 检验 是 一 种 高 度 专 
业 化 的 鉴定 活动 ,高 度 专 业 化 保证 了 客观 真实 性 。 采 用 科学 技术 进行 的 鉴定 和 检验 ,结果 一 
般 具 有 可 重复 性 和 可 验证 性 ; 采用 专业 知识 和 经 验 进 行 的 鉴定 和 检验 ,在 审查 .判断 方法 上 
更 为 严格 。 不 但 鉴定 /检验 人 必须 是 专业 技术 人 员外 ,鉴定 /检验 采用 的 方法 必须 是 国家 和 
行业 标准 ,或 者 是 经 过 确认 的 方法 标准 。 根 据 《 司 法 鉴定 程序 通则 》 的 规定 ,司法 鉴定 从 接受 
委托 分析 论 证 到 出 具 鉴 定 意见 ,都 要 遵循 相关 的 方法 标准 ,遵循 具体 的 流程 规定 。 方 法 的 
统一 性 保证 了 鉴定 意见 和 检验 结论 的 科学 性 和 专业 性 。 

8.6.4 电子 数据 鉴定 /检验 的 应 用 范围 

根据 人 《司法 鉴定 收费 管理 办 法 》 的 规定 ,电子 数据 鉴定 /检验 应 用 范围 包括 : 硬盘 检验 
(包括 台式 机 硬盘 、 笔 记 本 硬盘 、 移 动 硬盘 ) .服务 器 检验 (包括 磁盘 阵列 柜 、 网 络 硬盘 等 ) .CD 
及 DVD 光盘 检测 鉴定 .U 盘 及 存储 卡 检测 鉴定 ( 含 SIM 卡 )、 软 盘 检 测 鉴定 .电子 设备 检验 
鉴定 (包括 录音 笔 、 传 真 机 .电子 冬 等 同类 电子 设备 ) ,存储 介质 物理 故障 排除 (部 件 包括 调换 
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人 磁头、. 电 机; 更 换 PCB 板 ; 坏 忆 处 理 每 )、 手 机 机 号 检验 、 注 册 表 检验 鉴定 、 软 件 一 致 性 检验 
电子 数据 检验 鉴定 (包括 网 络 数据 包 等 )、 密码 破解 、 现 场 数 据 获 取 、 网 络 数 据 获 取 、 光 盘 渊源 
检验 .光盘 刻录 机 检验 .电子 物证 鉴定 文 证 复审 等 21 个 项 目 。 


8.6.5 电子 数据 鉴定 /检验 面临 的 困难 和 挑战 


1. 法 律 效力 没有 明确 界定 

人 大 "2. 28 "决定 和 随后 出 台 的 政法 部 门 的 关于 司法 鉴定 问题 的 规定 ,主要 是 针对 “三 大 
类" 鉴定 项 目 进行 界定 的 。 目 前 司法 行政 部 门 与 最 局 人 民法 院 、 最 局 人 民 检 察 院 并 设 有 进 一 
步 的 法 规 出 台 。“ 三 大 类 ?之 外 的 司法 鉴定 项 目 处 于 “管理 真空 ?的 状态 。 因 此 在 司法 实践 
中 ,要 么 是 按照 “三 大 类 ”中 的 " 声 像 人 资料" 来 管理 ,要 么 以 法 律 解 释 中 的 检验 来 处 理 。 新 刑 诉 
法 已 经 明确 “电子 数据 ”作为 证 据 类 型 后 ,将 电子 数据 归于 “ 声 像 资料 ”中 , 便 无 法 可 依 。 但 是 
电子 数据 使 用 检验 的 方式 于 以 固定 、 形 成 证 据 。 在 检验 机 构 和 检验 人 的 资质 认定 和 管理 上 
又 明显 的 缺乏 法 律 法 规 的 支撑 。 因 此 虽然 鉴定 和 检验 在 《刑事 诉讼 法 及 法 律 解释 中 处 于 并 
列 的 地 位 ,具备 同等 的 法 律 地 位 。 但 是 仍然 需要 对 于 关于 鉴定 和 检验 的 相 天 法 律 问题 加 以 
研究 ,出 台 具 体 措施 进行 规范 。 这 主要 有 两 个 方 问 : 一 是 将 电子 数据 归 人 鉴定 项 目 中 , 赋 
对 其 资质 ,加 强 管理 ; 二 是 建立 健全 检验 的 资质 和 管理 体系 ,加 强 “ 三 大 类 ”以 外 的 证 据 
管理 。 

2. 社会 认 知 度 不 足 

电子 数据 的 载体 已 经 帝 布 社会 生活 的 方方面面 。 例 如 计算 机 、 手 机 、 闪 存盘 等 。 但 是 在 
法 律 诉讼 中 ,当事人 很 少 有 将 电子 数据 作为 证 据 使 用 的 概念 。 同 时 电子 数据 鉴定 /检验 要 求 
人 员 技 术 水 平 较 高 ,也 约束 了 电子 数据 司法 鉴定 在 法 律 诉讼 中 的 应 用 。 很 多 当事人 不 知道 
或 者 不 相信 和 电子 数据 鉴定 /检验 的 效力 。 

3. 资源 不 均衡 ,方法 党 后 

某 些 执 法 部 门 的 电子 数据 鉴定 和 检验 建设 和 管理 工作 脱离 “科学 ”, 往 往 “ 一 窜 蜂 ”的 重 
复 建设 。 部 分 地 区 鉴定 /检验 人 无 法 驾驭 先进 的 设备 ,导致 工作 能 力 缺 失 。 同 时 由 于 缺乏 有 
效 的 管理 措施 ,鉴定 和 检验 工作 不 规范 的 情 帝 层 剧 出 现 。 社 会 上 的 鉴定 和 检验 机 构 在 利益 
驱动 下 ,往往 偏离 事实 ,按照 客户 需求 出 具 结 灯 意 见 。 这 些 痢 是 非 弟 危险 的 。 

电子 数据 标准 出 台 的 祁 后 ,严重 制约 看 该 行业 的 健康 发 展 。 目 前 参与 制定 电子 数据 方 
法 标准 的 部 门 有 公安 检察、 司法 部 门 和 一 些 社会 机 构 。 这 些 方法 标准 良 著 不 齐 , 有 的 能 够 
很 好 指引 电子 数据 鉴定 /检验 工作 ,有 的 质量 低下 ,甚至 有 错误 。 例 如 茶 标 准 中 要 求 对 刻录 
电子 数据 的 光盘 进行 完整 性 校 验 从 计算 ,因为 光盘 是 化 学 物质 ,存储 状态 不 稳定 , 容 匈 被 环 


人 大 "2.28" 决 定 中 对 “三 大 类 ”的 规定 是 “根据 诉讼 需要 由 国务 院 司 法 行政 部 门 商 最 高 人 民法 院 、 最 高 人 民 检 察 
院 确 定 的 其 他 应 当 对 鉴定 人 和 鉴定 机 构 实 行 登记 管理 。” 
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境 影响 ,因此 计算 光盘 的 完整 性 校 验 值 是 存在 重大 隐患 的 ,很 容 多 在 出 庭 质询 的 复核 中 因为 
与 原 完 整 性 校 验 值 不 从 而 导致 证 据 无 效力 。 

上 述 困 难 使 得 电子 数据 鉴定 /检验 的 开展 远 远 落后 于 整个 鉴定 /检验 活动 。 全 国 呈 现 出 
发 展 不 均衡 的 情况 ,除了 执法 部 门 建设 的 鉴定 /检验 机 构 外 ,社会 服务 类 的 鉴定 机 构 目 前 发 
展 较 好 的 北京 和 和 上海 ,能 够 从 事 电 了 于 数据 鉴定 /检验 的 机 构 已 经 达到 10 家 以 上 ,业务 量 每 年 
在 200 件 以 上 。 但 是 与 之 对 比 的 是 ,部 分 城市 发 展 色 组 ,例如 , 稚 至 2014 年 6 月, 天津 市 电 
子 数据 鉴定 /检验 机 构 数量 为 零 " 。 


8.6.6 电子 数据 鉴定 /检验 的 流程 


《司法 鉴定 通则 》《 公 安 机 关 电 子 数据 鉴定 规则 》”《 人 民 检 察 院 电 子 证 据 鉴 定 程序 规则 
(试行 )》 对 鉴定 /检验 的 流程 均 有 相关 规定 。 根 据 鉴 定 / 检 验 服务 的 对 象 不 同 ,鉴定 /检验 流 
程 包 括 启动 、 受 理 、 实 施 , 整 个 流程 受到 鉴定 时 限 、 回 避 制 度 和 质量 控制 等 制度 的 约束 。 根 据 
电子 数据 鉴定 /检验 的 特点 ,其 流程 一 般 包 含 以 下 环 市 : 

1. 电子 数据 鉴定 /检验 的 启动 

电子 数据 鉴定 /检验 的 启动 包含 申请 、 决 定 、 委 托 三 个 环节 ，。 

(1) 申请 

电子 数据 鉴定 /检验 的 申请 是 指 刑事 .民事 .行政 案件 的 诉讼 参与 人 ,为 了 保证 目 身 的 合 
法 权益 回执 法 部 门 、 检 察 机 关 、 审 判 机 关 提 出 案件 中 涉及 电子 数据 进行 鉴定 /检验 口头 或 者 
书面 的 请 求 。 可 分 为 初次 鉴定 /检验 申请 、 补 充 鉴 定 / 检 验 申 请 和 重新 鉴定 /检验 申请 。 

面 问 社会 的 鉴定 /检验 : 在 民事 ,行政 诉讼 中 申请 鉴定 ,应 当 在 举证 期 限 内 提出 。 当 和 事 
人 经 人 民法 院 同 意 后 ,由 双方 当时 人 协商 确定 有 鉴定 /检验 资格 的 鉴定 /检验 机 构 、 鉴 定 / 检 
验 人 ,协商 不 成 的 ,由 人 民法 院 指定 。 

执法 部 门 司法 鉴定 : 侦查 阶段 ,刑事 .行政 案件 需要 进行 鉴定 /检验 的 ,申请 部 门 制作 
《申请 鉴定 报告 书 》, 报 县 级 以 上 公安 机 关 负 责 人 批准 。《 申 请 鉴定 报告 书 》 内 容 包括 : 简要 
案情 、 需 要 鉴定 的 种 类 (电子 数据 ); 鉴定 解决 对 案件 办 理 的 作用 。 本 级 公安 机 关 鉴 定 机 构 
有 鉴定 /检验 能 力 的 ,实行 本 级 申请 ; 超出 本 级 公安 机 关 鉴 定 /检验 能 力 范 围 的 ,向 上 级 公安 
机 关 逐 级 申请 。 特 别 重 大 案 ( 事 ) 件 的 鉴定 或 者 疑难 鉴定 ,经 拟 委 托 鉴定 /检验 的 鉴定 /检验 
机 构 同 意 , 可 以 选择 委托 。 

(2) 决定 

根据 我 国有 关 法 律 规定 的 诉讼 职能 和 取证 责任 ,刑事 公诉 案件 是 否 进行 鉴定 /检验 ,在 
侦查 阶段 有 执法 部 门 决 定 ; 在 起 诉 阶 段 由 检察 机 关 决 定 ; 在 审判 阶段 有 审判 机 关 决 定 ; 刑 
事 自诉 、 民 事 , 行 政 等 案件 鉴定 /检验 由 人 民法 院 决 定 。 

面 癌 社会 的 鉴定 /检验 : 对 于 诉讼 案件 中 鉴定 /检验 的 申请 ,司法 机 关 根 据 法 律 规定 ,对 


@ 陈 金 明 ,中 国 司法 鉴定 天 津 市 司法 鉴定 现状 与 思路 .北京 : 中 国 司法 鉴定 ,2014. 
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鉴定 /检验 的 要 求 进 行 审 核 后 ,有 权 作 出 是 否 鉴 定 / 检 验 的 决定 。 

执法 部 门 的 鉴定 /检验 : 侦查 阶段 的 鉴定 /检验 经 过 审查 后 ,经 过 县 级 以 上 的 公安 机 关 
负责 人 批准 ,直接 送 交 委托 。 

(3) 委托 

委托 环节 采用 的 技术 和 方法 大 臻 相同 ,因此 面向 社会 的 鉴定 /检验 和 执法 部 门 的 鉴定 / 
检验 的 流程 基本 相同 。 

委托 鉴定 /检验 单位 应 当 回 鉴定 /检验 机 构 提 交 : 

* 《鉴定 /检验 委托 书 尹 

*。 证 明 送 检 人 号 份 的 有 效 证 件 ; 

。 委托 鉴定 /检验 的 检验 材料 ; 

。 鉴定 /检验 所 需 的 其 他 材料 。 

委托 鉴定 /检验 单位 应 当 指 派 熟 悉 案 ( 事 ) 件 情况 的 人 员 送 检 。 

委托 单位 送 交 的 检 材 ,应 当 是 完好 的 原始 检 材 ,保证 其 没有 被 破坏 或 者 算 改 。 有 条 件 的 
语 ,委托 单位 应 当 原 始 存储 媒介 或 原始 电子 设备 进行 封存 或 固定 。 

2. 受理 委托 

(1) 审查 

电子 数据 鉴定 /检验 机 构 接 到 鉴定 委托 时 ,应 当 审 查 以 下 内 容 : 

J 委托 主体 和 有 关 手 续 是 否 符合 要 求 ; 例如 公安 机 关 电 子 数据 鉴定 /检验 机 构 可 以 受 
理 公 安 机 关 、 人 民法 院 、 人 民 检 察 院 、 司 法 行政 机 关 、 国 家 安全 机 关 、 其 他 行政 执法 机 关 、 军 队 
保卫 部 门 .纪检 监察 部 门 ,以 及 仲裁 机 构 委 托 的 电子 数据 鉴定 /检验 。 必 要 时 ,经 公安 机 关 电 
子 数据 鉴定 /检验 机 构 主要 负责 人 批准 ,可 以 受理 律师 事务 所 委托 的 电子 数据 鉴定 /检验 。 

@ 送 检 材料 有 无 鉴定 /检验 条 件 。 

G) 核对 送 检 材 料 的 名 称 、 数 量 。 

鉴定 /检验 材料 的 完整 性 校 验 值 是 否 正 确 。 

封存 清单 中 记载 的 内 容 与 送 检 的 原始 电子 设备 或 原始 存储 媒介 的 封存 状况 是 否 
. -有 
(2) 检 材 接收 
电子 数据 司法 鉴定 中 的 检 材 是 保存 有 与 鉴定 事项 有 关 的 电子 数据 的 存储 介质 或 者 相关 
资料 。 电 子 物证 检验 鉴定 的 工作 对 象 具 有 特殊 性 ,检验 对 象 往往 被 容纳 其 他 物品 之 中 送 检 ， 
例如 主机 、 笔 记 本 .移动 便 盘 盒 。 一 般 来 说 ,存储 介质 为 检验 对 象 , 称 为 检验 材料 (简称 
检 材 ) 。 

检验 材料 (简称 检 材 ) 的 接收 、 标 识 ,流转 (运输 )、 人 储存、 保护 和 清理 ,需要 有 制度 或 者 程 
厅 保 障 , 以 保证 检 材 的 完整 性 和 原始 性 ,确保 “ 保 窟 链 ”记录 的 完整 性 和 可 退潮 性 ,以 此 保证 
鉴定 结果 的 科学 性 和 公正 性 。 

党 理 时 ,应 当 对 检 材 进行 以 下 检查 : 
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中 送 检 的 材料 状态 有 无 分 析 条 件 ; 

核对 送 检 材料 的 名 称 、 数 量 或 检查 检 材 完整 性 ; 

@) 完整 性 校 验 值 是 否 正 确 ; 

对 符合 条 件 的 检 材 ,进行 登记 .标识 和 招 照 ,并 填写 送 检 物品 清单 ,同时 对 检 材 进行 复 
制 ,记录 完整 性 校 验 值 。 复 制 检 材 的 方法 主要 有 两 种 : 位 对 位 复制 和 制作 镜像 文件 。 

应 对 检 材 的 详细 信息 予以 记录 。 需 要 记录 以 下 信息 : 

检 材 信息 ,包括 品牌 、 型 号 、 数 量 、 序 列 号 、 校 验 值 ; 

如 果 检 材 为 破坏 性 程序 的 ,应 该 在 存储 破坏 性 程序 的 存储 介质 上 注 明 破坏 性 程序 
标识 ; 

G) 其 他 需要 标注 的 信息 。 

检 材 应 当 进 行 唯一 性 标识 识别 。 唯 一 性 识别 标志 应 始终 伴随 检 材 在 实验 室 流转 ,确保 
检 材 在 实际 工作 中 、 在 记录 或 其 他 文件 中 提 及 时 ,不 会 被 混 消 。 

检 材 在 受理 登记 后 应 及 时 人 库 , 将 检 材 放置 符合 存储 条 件 的 空间 内 存储 。 检 材 出 人 库 
时 ,应 当 履 行 出 和信 库 手续 。 

实验 室 应 当 保 证 检 材 的 完整 性 ， 

在 条 件 允 许 的 情况 下 ,应 对 送 检 的 存储 设备 进行 完整 备份 ,并 只 在 副本 上 进行 处 理 
与 分 析 ; 

在 没有 替代 方法 只 能 直接 操作 检 材 时 ,应 避免 对 检 材 造成 永久 性 改变 ; 

G) 如 不 可 避免 可 能 对 检 材 造成 永久 性 改变 ,必须 评估 对 检 材 的 影响 ,并 以 书面 和 录像 
方式 记录 操作 过 程 。 

(3) 签订 司法 鉴定 /检验 协议 

对 资质 和 检 材 核查 无 误 后 ,与 委托 方 签 订 司 法 鉴定 /检验 协议 ,约定 鉴定 /检验 的 方法 、 
期 限 等 。 

3. 鉴定 /检验 

(1) 指定 鉴定 /检验 人 

电子 数据 应 当 由 两 名 以 上 鉴定 /检验 人 员 参 加 。 必 要 时 ,可 以 指派 或 者 聘请 具有 专门 知 
识 的 人 协助 鉴定 。 从 事 电 子 数据 鉴定 的 鉴定 /检验 人 应 具有 计算 机 科学 与 技术 等 相关 专业 
大 学 本 科 以 上 (包括 大 学 本 科 ) 学 历 ,并 具备 在 电子 数据 鉴定 领域 的 执业 资格 。 

(2) 领取 检 材 

检 材 在 领取 时 ,鉴定 /检验 人 应 一 一 清点 无 误 , 在 相应 的 记录 文件 登记 并 签字 确认 。“ 保 
管 链 ”的 记录 是 否 能 证 明 在 物理 检 材 /样本 从 接收 到 返还 (或 清理 ) 之 间 的 所 有 转移 过 程 处 于 
鉴定 /检验 机 构 的 全 面 控制 之 下 。 

电子 数据 鉴定 /检验 机 构 应 当 有 采取 技术 措施 保证 分 析 过 程 中 对 原始 存储 媒介 和 电子 设 
备 中 的 数据 不 做 修改 。 检 材 在 使 用 过 程 中 特别 应 加 以 保护 。 鉴 定 / 检 验 人 应 核对 检 材 标识 ， 
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并 加 以 保护 ,对 不 同 检验 状态 的 检 材 分 区 存放 ,应 严格 遵守 有 关 检 材 的 使 用 说 明 ,避免 受到 
非 检 验 性 损坏 ,并 防止 丢失 .损坏 。 

(3) 领取 设备 

根据 检 材 的 性 质 和 数量 ,鉴定 /检验 人 领取 相应 的 设备 。 设 备 应 当 保 证 获取 、 分 析 数 据 
时 不 能 改变 其 原始 性 。 设 备 应 当 在 使 用 前 进行 检查 ,确定 正常 。 并 在 鉴定 过 程 中 ,注意 设备 

(4) 确定 鉴定 /检验 方法 

鉴定 /检验 人 应 当 优 先 选 用 国家 .行业 标准 进行 鉴定 ,对 于 公司 制定 标准 、 目 行 制定 的 标 
准 应 当 进 行 方 法 确认 , 方 可 以 使 用 。 

电子 数据 鉴定 /检验 机 构 应 当 在 十 四 个 工作 日 内 完成 鉴定 /检验 ,出 具 鉴 是/ 检验 文书 。 
法 律 法 规 另 有 规定 或 者 情况 特殊 的 ,经 鉴定 机 构 负 责 人 批准 可 以 适当 延长 时 间 , 但 应当 及 时 
问 鉴定 /检验 委托 单位 说 明 原 因 。 

检 毕 .撤销 委托 或 中 止 等 情 次 ,应当 履行 检 材 交界 手续 ,由 专人 负责 检 材 出 库 , 并 与 委托 
方 共同 确认 检 材 状态 ,做 好 记录 。 

4. 鉴定 /检验 文书 的 制作 

鉴定 /检验 完毕 后 ,鉴定 /检验 人 应 当 制 作 《 电 子 数 据 鉴定 意见 》( 按 照 鉴定 工作 ) 或 者 《 电 
子 数据 检验 报告 (按照 检验 工作 ) ,一 式 三 份 ,一 份 交 委托 鉴定 /检验 单位 , 男 两 份 存 档 。 

《电子 数据 鉴定 意见 书 ) 或 者 (电子 数据 检验 报告 应 当 包 含 以 下 内 容 : 

(1) 委托 单位 、 委 托 人 、 送 检 时 间 ; 

(2) 案由 、 鉴 定 / 检 验 要 求 ; 

(3) 论证 报告 ; 

(4) 鉴定 意见 /检验 报告 ，; 

(5)《 受 理 鉴 定 检 材 清单 》; 

(6)《 提 取 电 子 证 据 清单 》 

(7) 鉴定 过 程 中 生成 的 照片 .文档 .图 表 等 其 他 材料 。 

《电子 数据 鉴定 意见 书 ) 或 者 (电子 数据 检验 报告 至 少 应 由 两 名 鉴定 /检验 人 签名 ,鉴定 
意见 加 盖 鉴 定 专用 章 。《 电 子 数据 鉴定 意见 书 》 或 者 《电子 数据 检验 报告 》 为 两 页 以 上 的 ,应 
当 在 鉴定 意见 /检验 报告 正面 右 侧 中 部 加 盖 骑 缝 章 。 

鉴定 意见 系 刑事 诉讼 法 规定 法 定 证 据 种 类 ,而 检验 报告 系 4 刑 事 诉 讼 法 解释 》 根 据 刑 事 
案件 办 案 需 要 而 规定 可 以 作为 参考 的 证 据 材 料 。 因 此 ,在 4 网络 犯 菲 刑 事 诉 讼 程序 意见 》 规 
定 对 电子 数据 可 以 进行 鉴定 与 检验 并 行 后 ,在 司法 实践 中 ,必须 面临 的 问题 是 鉴定 意见 和 检 
验 报告 的 效力 权重 问题 。 按 照 《 网 络 犯罪 刑事 诉讼 程序 意见 等 相关 法 规 的 解释 ,不 能 单纯 
地 按照 主观 理解 来 判断 鉴定 意见 或 检验 报告 的 法 律 效 力 ,而 应 当 按 照 《 刑 事 诉讼 法 ) 关 于 证 
据 的 审查 规定 来 综合 判断 ,严格 按照 非法 证 据 排除 原则 ,来 确定 鉴定 意见 或 检验 报告 的 法 律 
-i 
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5. 电子 数据 鉴定 /检验 的 质量 控制 

对 鉴定 /检验 的 过 程 进行 质量 控制 的 日 的 是 ,确保 整个 鉴定 /检验 过 程 不 会 对 最 终结 果 
造成 影响 。 质 量 控制 需要 对 整个 鉴定 /检验 过 程 进行 流程 监管 ,需要 有 完善 的 制度 或 者 参加 
认证 认可 。 例 如 计量 认证 或 者 实验 室 认可 。 必 要 时 ,可 以 利用 计算 机 系统 控制 管理 系统 监 
管 电子 数据 鉴定 /检验 流程 。 

6. 电子 数据 司法 鉴定 /检验 文书 实例 ( 见 图 8. 1) 

详细 内 容 参 见 附录 。 


| 乔 制 坊 号 ， 几 = 全 电感 宁 [nd 高 汪 入 一 虎 秆 刘 次 全 订 和 榨 栖 颈 号 :证 =6| 1 芭 电 县 妾 [2 可 篇 喜 号 芒 一 贱 属 市 实 粮 订 .， 
XX 市 公安 局 电子 数据 检验 鉴定 实验 室 . 核验 码 ; + 
电子 数据 检验 鉴定 意见 ， 2、 提取、 国定 与 恢复 本 次 案 尾 的 相关 电子 证 据 。*+ 
X 公 电 此 字 [201 机 第 入 导 【七 )》 粒 验 鉴定 时 间 : 2014 年 7 月 21 日 9: 的 至 2014 年 ?了 
一 、 绪 论 ;， 月 22 日 17:30。 + 
(一 》 委 托 单 位 : ， ( 八 )】 栓 验 些 定 地 点 ， CX 市 公安 局 电子 数据 检验 些 定 实验 
中 国 各 棕 评定 国家 认可 入 员 会 (CNAS); 。 室 。» 
公安 部 网 络 安全 保卫 局 。， ( 九 ) 检验 监 定 方法 : 。 
(二 ) 委托 人 :JU GAAT754 一 2008 电子 数据 存储 介质 复制 工具 要 求 及 答 测 方 
(三 ) 受理 日 期 : 2014 年 7 月 21 日 + 法 ，， 
(四 ) 案 ( 事 ) 江 情 况 搁 要 : 本 次 能 力 验证 为 模拟 某 网 络 署 GA7T755-2008 电子 数据 存储 介质 写 保 护 设备 要 求 及 检测 方 
球 案件 ,赌球 网 站 域 当 为 www.betbal1. com( 中 文 洛 为 由 博 公司 )。 法 ; + 
警方 查抄 了 某 小 案 人 员 的 电脑 ， 据 该 犯罪 说 疑 人 交待 : 电脑 内 有 GA/T756-2008 数字 已 设备 证 据 数 据 发 现 提取 国定 方法 ; + 
该 公司 与 其 他 分 销 商 的 合同 doc 文本 4 个 .彩票 奖 生 和 统计 Xl1s 表 GA/AT976-2012 电子 数据 和 法庭 科学 鉴定 通用 方法 ; + 
格 5 沾 、 彩 票 统计 蕉 图 pnmg 文件 5 个 。 其 中 部 分 文件 已 被 删除 ， GB/T29360-2012 电 于 物证 莪 指 恢复 检验 规程 ; + 
部 分 文件 用 rar 压缩 , 部 分 rar 文件 有 压缩 密码 ， 但 嫌疑 人 已 不 GB/T29361-2012 电子 物证 文件 一 致 性 检验 规程 ; * 
记得 密码 ,只 记得 加 寄 文 忻 是 通过 web 邮件 下 载 的 ， 审 和 码 在 最 忻 GB/T29362-2012 电子 物证 数据 捷 索 尾 验 规程 。。 
内 。 警方 对 查抄 的 电脑 进行 了 硬盘 复制 ,生成 殿 检 验 的 硬盘 镜像 二 、 检 验 鉴定 过 程 : + 
文件 ， 瑰 天 对 该 硬盘 镜像 文件 进 行 敬 定 检 验 ， 提取 . 国定 与 恢复 2014 年 7 月 21 日 9:00 开始 检验 监 定 。。 
由 闪电 子 证 握 。* 一》 恒 用 的 设备 : + 
《五 ) 愉 封 和 样本 : 款 识 有 天 加 机 构 代 码 的 U 盘 过 个 。， 1.、 愉 验 监 定 工 作 癌 《设备 编导 : DLCF/WA-SB-D-1-1-6)。 其 
(六 ) 检验 鉴定 要 求 : 。 中 搭载 的 取证 设备 为 Tbleau T35689iu Forensic Bridge 只 读 销 。 
1, 计 算 谤 粉 员 盘 (样品 ) 和 各 庶 粕 UU 瘟 中 醒 棚 罚 冀 文 忻 的 SHA256 好 证 软 尾 为 Encase V6. 17,Liveview0. 7b. 美亚 取证 大 师 , -ways 
过 王 


图 8.1 电子 数据 司法 鉴定 /检验 文书 实例 


8.7 ”和 蛤 定 意见 /检验 报 言 的 审查 


对 于 电子 数据 鉴定 /检验 报告 ,适用 最 高 人 民法 院 ( 关 于 适用 (中 华人 民 共 和 国 刑事 诉讼 
法 ;的 解释 ?第 八 十 四 条 规定 : 

“对 鉴定 意见 应 当 春 重审 查 以 下 内 容 : 

(一 ) 鉴定 机 构 和 鉴定 人 是 否 具 有 法 定 资 质 ; 

(二 ) 鉴定 人 是否 存在 应 当 回 避 的 情形 ; 

(三 ) 检 材 的 来 源 、 取 得 .你 管 、. 送 检 是 否 符 合法 律 ` 有 关 规 定 , 与 相关 提取 笔录 .扣押 物 
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品 清单 等 记载 的 内 容 是 否 相 符 , 检 材 是 否 充 足 、 可 和 菲 ; 

(四 ) 鉴定 意见 的 形式 要 件 是 否 完 备 , 是 否 注 明 提起 鉴定 的 事由 \ 鉴定 委托 人 鉴定 机 
构 .鉴定 要 求 .鉴定 过 程 .鉴定 方法 .鉴定 日 期 等 相关 内 容 , 是 否 由 鉴定 机 构 加 兰 司 法 鉴定 专 
用 章 并 由 鉴定 人 签名 、 兰 草 ; 

(五 ) 鉴定 程序 是 否 和 从 合法 律 、 有 关 规 定 ; 

(六 ) 鉴定 的 过 程 和 方法 是 否 符合 相关 专业 的 规范 要 求 ; 

(七 ) 鉴定 意见 是 否 明 确 ; 

( 八 ) 鉴定 意见 与 案件 待 证 事实 有 无 天 联 ; 

( 九 ) 鉴定 意见 与 勘 验 、 检 查 笔 录 及 相关 照片 等 其 他 证 据 是 否 了 矛盾 ; 

(十 ) 鉴定 意见 是 否 依 法 及 时 告知 相关 人 员 , 当 事 人 对 鉴定 意见 有 无 异议 。” 

同时 第 八 十 七 条 规定 :“ 对 检验 报告 的 审查 与 认定 ,参照 适用 本 节 的 有 关 规 定 .” 因 此 ， 
无 论 是 电子 数据 鉴定 意见 还 是 检验 报告 ,无论 是 内 部 审核 ,还 是 检察 院 和 法 院 审 核 ,者 需要 
按照 上 述 规定 ,认真 审查 真实 性 .关联 性 和 合法 性 。 也 同时 将 电子 数据 检验 机 构 、 检 验 人 、 检 
验 过 程 .检验 方法 赋 子 与 电子 数据 鉴定 同样 的 要 求 , 使 其 具有 同等 的 法 律 效 力 。 


8.8 付 定 /检验 人 出 庭 作 证 制度 


证 据 作 为 案 ( 事 ) 件 认定 的 根据 ,应 当 经 过 法 庭 程序 查证 属实 ,在 法 庭 上 接收 质证 ,否则 
不 能 作为 定案 的 依据 。 人 大 “2. 28” 决 定 第 11 条 规定 “在 诉讼 中 ,当事人 对 鉴定 意见 有 异议 
的 ,经 人 民法 院 依 法 通知 ,鉴定 人 应 当 出 庭 作 证 ”。 

《刑事 诉讼 法 ) 第 一 百 八 十 七 条 《刑事 诉讼 法 解释 ) 第 八 十 六 条 《民事 诉讼 法 ) 第 七 十 八 
条 均 规 定 公 诉 人 、 当 事 人 或 者 淮 护 人 ,诉讼 代理 人 对 鉴定 意见 有 异议 ,人 民法 院 认 为 鉴定 人 
有 必要 出 庭 的 ,鉴定 人 应 当 出 庭 作证 。 经 人 民法 院 通 知 ,鉴定 人 拒 不 出 庭 作 证 的 ,鉴定 意见 
不 得 作为 定案 的 根据 。 在 《司法 鉴定 人 登记 管理 办 法 》《 公 安 机 关 鉴 是 人 登记 管理 办 法 》 和 
《人 民 检 察 院 登记 管理 办 法 }》 等 法 规 中 ,也 对 鉴定 人 出 许 作 证 有 着 明确 的 规定 。 司 法 鉴定 人 
出 许 作 证 .接受 质证 ,不 但 是 司法 进步 的 体现 ,也 是 保证 司法 鉴定 质量 的 重要 措施 。 

在 《刑事 诉讼 法 》 已 经 要 求 鉴 定 人 出 庭 作 证 的 前 提 下 ,针对 例外 规定 的 检验 ,没有 理由 赋 
了 予 检 验 人 不 出 庭 的 特权 。.《 刑 事 诉 讼 法 解释 ?第 八 十 七 条 “经 人 民法 院 通 知 , 检 验 人 拒 不 出 
姓 作 证 的 ,检验 报告 不 得 作为 定罪 量刑 的 参考 .” 据 此 ,司法 实践 中 ,人 民法 院 应 当 参 照 鉴 定 
人 出 庭 作证 的 相关 规定 ,及 时 通知 检验 人 出 庭 作证 。 

根据 不 完全 统计 ,2014 年 涉及 刑事 诉讼 和 民事 诉讼 的 案件 分 别 为 225562 件 和 816175 
件 。 司 法 鉴定 人 出 庭 数 16351 人 (次 )。1000 人 (次 ) 以 上 的 为 甘肃 2697 人 (次 )、 四 川 1993 
人 (次 )、 上 海 1883 人 (次 ) 湖南 1103 人 (次 )。 这 表明 鉴定 /检验 人 出 庭 已 经 成 为 保证 法 


李 驯 , 觉 破 云 ， 2013 年 度 全 国 司法 鉴定 情况 统计 分 析 . 北京 : 中 国 司 法 鉴定 ,2014. 
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律 公平 实施 的 一 项 必要 措施 。 
根据 相关 规定 ,电子 数据 鉴定 /检验 出 姓 流 程 主要 有 以 下 环 市 。 


8.8.1 鉴定 /检验 人 出 庭 的 准备 


鉴定 /检验 人 应 当 准 备 相关 证 明文 件 ,一 般 在 法 庭 上 出 示 证 明 上 自己 的 鉴定 资质 或 检验 能 
力 。 证 明文 件 包 括 : 鉴定 /检验 人 的 专业 资质 .技术 职称 证 书 ; 鉴定 /检验 机 构 相 应 的 专业 
资格 .资质 证 书 , 其 他 鉴定 /检验 人 员 巾 于 不 能 出 庭 而 授权 出 庭 人 员 代 为 出 庭 的 委托 书 原 件 。 

鉴定 /检验 人 应 当 评 估 案 件 档 案 ,全 面 回 顾 鉴 定 / 检 验 过 程 。 借 阅 并 复印 原 鉴 定 /检验 档 
案 资 料 ,根据 卷宗 材料 重新 进行 鉴定 评估 ; 核对 原 鉴 定 /检验 文书 文字 ,如 发 现 有 不 妥 之 处 ， 
应 事先 准备 好 补充 或 更 正 说 明 ; 如 果 发 现 重 大 问题 ,立即 向 负责 人 汇报 ,商讨 补救 措施 。 同 
时 拟定 出 庭 答辩 提纲 ,做 好 突 发 情况 发 生 的 处 理 预 案 。 

鉴定 /检验 人 还 应 当 准 备 好 封存 的 电子 数据 和 相关 展示 设备 ,以 便当 庭 解 释 说 明 。 

鉴定 /检验 人 还 应 妆 准 备 鉴 定 意见 或 检验 报告 的 依据 .鉴定 /检验 方法 .鉴定 /检验 参考 
数据 ; 鉴定 /检验 涉及 的 法 律 法 规 . 鉴定 /检验 规则 。 

如 果 条 件 人 允许, 拟定 出 庭 人 员 应 及 时 有 效 地 与 法 官 、 检 察 官 .律师 沟通 ; 详细 了 解 庭 审 
程序 、 各 方 情况 ; 针对 对 方 对 鉴定 /检验 结论 存在 异议 ,有 和 针对 性 准备 相应 资料 ; 增加 与 公 
诉 人 配合 的 默契 程度 。 


8.8.2 庭审 中 注意 事项 


鉴定 /检验 人 应 当 遭 和 守 出 庭 时间 和 法 庭 秩 床 ,听从 法 官 意见 ; 出 庭 应 守 正 妆 , 整 沪 , 避 人 钢 
他 人 产生 不 导 重 法 姓 的 感觉 ; 仪表 端正 ,举止 有 度 ,态度 和 充 ,各 重 其 他 诉讼 人 及 参加 人 ,不 
被 辩护 人 的 言论 激 八 ;回答 问题 直接 ,切忌 仍 仿 其 谈 , 育 目 回答 ,扩展 回答 ;于 酝 清 晰 、 明 
确 、 上 朋 定 、 交 辑 性 强 , 最 好 不 用 “可 能 “大 概 ”“ 或 计 ” 等 模糊 词语 。 博 言 平实 易 异 ,专业 术语 
可 能 会 被 要 求解 释 说 明 ; 带好 纸 笔 ,做 好 问题 与 要 求 的 记录 ; 有 条 件 采 用 可 视 化 表达 方式 。 


8.8.3 遇 到 特殊 情况 的 处 理 


(1) 鉴定 /检验 人 出 寿 时 发 现 权 利 受 到 损害 时 可 以 回 审 判 长 提出 。 

最 高 人 民法 院 关 于 适用 《中 华人 民 共 和 国 刑事 诉讼 法 的 解释 第 二 百 一 十 三 条 规定 ， 

“ 回 证 人 发 问 应 当 音 循 以 下 规则 : 

中 发问 的 内 容 应 当 与 本 和 案 事 实 有 关 ; 

不 得 以 诱导 方式 发 问 ; 

(3 不 得 威胁 证 人 ; 

不 得 损害 证 人 的 人 格 尊严 。 

前 球 规 定 适 用 于 对 被 告 人 被害人、 附 币 民 事 诉讼 当事人 、 鉴 定 人 、 有 专门 知识 的 人 的 讯 
问 、 发 问 ”。 准 护 人 对 鉴定 /检验 人 进行 诱导 性 询问 以 及 其 他 不 当 询 问 可 能 影响 陈述 或 者 证 
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言 的 客观 性 和 真实 性 ,鉴定 /检验 人 可 以 提请 公诉 人 要 求 审 判 长 制止 或 者 要 求 对 该 项 陈述 或 
者 证 言 不 予 采 纳 。” 

(2) 对 不 属于 鉴定 /检验 人 必须 回答 的 ,与 鉴定 /检验 无 关 的 问题 ,可 以 经 审判 长 同意 后 
不 也 回答 。 

(3) 如 需要 鉴定 /检验 人 应 及 时 阐述 证 据 链 条 的 完整 性 ,程序 合法 性 、 鉴 定 / 检 验 的 独立 
性 和 客观 性 。 

(4) 不 应 回答 涉及 国家 或 商业 机 密 、 涉 及 个 人 隐私 \ 保 密 性 技术 手段 等 问题 。 


8.9 本 草 小 结 


电子 数据 鉴定 和 检验 是 属于 新 兴 的 鉴定 和 检验 , 正 处 于 发 展 阶 段 , 其 法 律 地 位 和 适用 光 
围 以 及 贤 质 要 求 部 存在 空 日 。 由 于 我 国 的 鉴定 和 检验 行业 还 不 完善 ,因此 电 了 于 数据 鉴定 和 
检验 存在 多 头 管 理 . 运 行 不 畅 的 问题 。 本 章 通 过 对 相关 法 律 法 规 的 调 源 ,详细 讲解 了 电子 数 
据 鉴 定 和 检验 的 概念 .法律 要 求 \, 应 用 范围 和 质 质 要 求 。 针 对 目前 我 国 鉴 定 和 检验 的 现状 ， 
说 明 鉴 定 和 检验 的 使 用 范围 ,提出 电子 数据 鉴定 和 检验 的 基本 流程 和 注意 事项 ,并 根据 新 刑 
诉 法 的 要 求 讲解 了 鉴定 /检验 人 员 出 诗作 证 制度 。 


思 考 题 


. 鉴定 和 检验 的 概念 分 别 是 什么 ? 试 述 二 者 的 区 别 和 联系 。 
. 前 述 鉴定 和 检验 的 相关 法 律 要 求 有 哪些 ? 

.鉴定 机 构 的 次 奈 要 求 有 哪些 ? 

鉴定 人 的 贤 质 要 求 有 哪些 ? 

. 检验 机 构 和 鉴定 人 的 资质 要 求 有 哪些 ? 

电子 数据 鉴定 /检验 的 资质 要 求 有 哪些 ? 

. 电子 数据 鉴定 /检验 的 应 用 范围 是 什么 ? 

. 电子 数据 鉴定 /检验 的 基本 流程 是 什么 ? 

. 电子 数据 鉴定 /检验 人 出 许 有 哪些 注意 事项 ? 


oo 门 富 本 


实验 军 建 设 和 认可 


本 章 学 习 目 标 

国外 电子 数据 取证 实验 室 的 发 展 

我 国电 子 数 据 取 证 实验 室 的 发 展 

国内 外 电子 数据 取证 的 发 展 概况 
电子 数据 取证 实验 室 建设 原则 和 标准 规范 
合格 评定 与 实验 室 认 可 

国内 外 司法 鉴定 /法 庭 科学 实验 室 认 可 的 发 展 
实验 室 认 可 与 资质 鉴定 \ 司 法 鉴定 /检验 的 关系 
。 司 法 鉴定 /法 庭 科学 的 领域 和 方法 

* (CNAS-CL27: 2014 应 用 说 明 

。 电子 数据 取证 实验 室 认 可 流程 

。 能 力 验 证 


实验 室 建设 是 推动 电子 数据 取证 实验 室 发 展 的 动力 ,实验 室 认 可 则 是 电子 数据 取证 实 
验 室 平 稳 运 行 的 保障 。 建 设 实验 室 可 以 使 电子 数据 取证 能 力 在 短 时 间 内 得 到 提 融 ,而 实验 
a eas nd ne nme 理 。 通 过 实验 室 认可 建 

管理 体系 和 实施 规范 的 制度 ,将 科技 朔 备 和 管理 规范 统一 起 来 ,使 高 级 的 技术 有 与 其 相 适 
应 的 管理 模式 ,通过 规范 的 管 : 理 来 捉 遍 电子 数据 取证 实验 室 的 鉴定 能 力 。 


9.1 电子 数据 取证 实验 室 的 发 展 历程 


电子 数据 是 一 种 新 型 的 证 据 形 式 ,已 经 成 为 蓉 件 侦查 和 诉讼 审判 的 重要 依据 。 相 对 于 
传统 证 据 ,电子 数据 具有 易 失 性 和 易 修 改 性 等 特性 。 担 取 和 固定 电子 数据 再 要 以 符合 法 律 
法 规 的 方法 、 使 用 专业 的 设备 、 由 经 过 培训 的 专业 人 员 进 行 操 作 。 因 此 电子 数据 检验 鉴定 工 
作 是 一 个 系统 而 专业 的 工作 。 在 我 国 执 法 和 诉讼 体制 内 ,从 事 电 子 数 据 取 证 工作 的 专业 部 
门 古 电子 数据 取证 实验 室 。 

建立 电子 数据 取证 实验 室 , 可 以 满足 业务 需求 和 实战 需要 ,利用 符合 标准 规范 程序 你 证 
取证 过 程 、 取 证 技术 和 证 据 保 存 等 取证 环 市 合法 规范 ,减少 由 于 不 规范 取证 市 来 的 争议 。 实 
验 室 的 电子 数据 取证 专家 对 数据 进行 分 析 并 做 出 第 论 , 作 为 诉讼 中 认定 事实 的 依据 ,有 效 地 
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保证 司法 的 公正 性 ,维护 法 律 的 得 严 ,保护 国家 安全 和 人 民利 益 。 
9.1.1 国外 电子 数据 取证 实验 室 的 发 展 


国外 的 电子 数据 取证 实验 室 , 大 多 集中 在 美 欧 地 区 。 其 中 美国 的 电子 数据 取证 实验 室 
的 发 展 一 下位 于 世界 领先 水 平 。 目 前 美国 车 方 . 联 邦 调 查 局 CFBI) 地方 警方 .司法 部 
(NI1J) 、 美 国 烟草 火器 与 爆炸 物 管理 局 (ATF)、 美 国 给 毒 局 (DEA)、 美 国 国 税 局 刑事 调查 司 
(IRS-CID) ,美国 邮政 检查 (US-PIS) ,特勤 局 (USSS) 根 据 权 限 分 别 设立 了 针对 电子 数据 取 
证 实验 室 。 作 为 全 国 性 机 构 , 美 国 国 防 部 设立 了 专门 的 网 络 犯 罪 调 查 机 构 (The Defense 
Cyber Crime Center,DC39) ,其 下 的 防范 计算 机 犯罪 实验 室 (Defense Computer Forensics 
Laboratory， DCFL) 由 美国 海 守 运行 ,主要 承担 国家 和 这 队 层 面 的 电子 数据 取证 工作 。 美 国 
联邦 调查 局 (FBI) 在 各 州 建立 了 16 个 地 区 计算 机 取证 实验 室 (The Regional Computer 
Forensics Laboratory,RCEFLS) ,如 图 9. 1 所 示 , 负 责 支援 当地 的 网 络 犯 罪 调查 。 这 些 实验 
室 大 多 通过 实验 室 认可 。 


9.1 RCFL 实验 室 


美 欧 的 电子 数据 取证 实验 室 的 成 员 水 平 普 过 较 高 , 蝎 侧重 “专家 "操作 模式 ,重视 技术 和 
标准 的 建设 。 因 此 实验 室 在 硬件 设施 条 件 上 并 不 突出 ,而 在 装备 和 人 员 上 具有 较 高 水 准 , 其 
实验 室 的 建设 重点 放 在 软件 和 人 员 能 力 建 设 上 。 由 于 检 材 的 数量 增长 ,2000 年 以 来 ,美国 
警方 逐步 加 强 对 实验 室 的 管理 ,比如 加 强 流 程 审 计 、 参 加 实验 室 认 可 ; 例如 洛杉矶 警察 的 计 
算 机 犯 菲 行动 组 (Los Angeles Electronic Crimes Task Force) 在 其 实验 室 建 设 中 ,充分 考虑 
了 证 据 文件 的 集中 管理 问题 。 


9.1.2 国内 电子 数据 取证 实验 室 的 发 展 
国内 的 香港 .澳门 地 区 ,长 期 以 来 按照 美 欧 的 执法 体系 进行 建设 ,其 电子 数据 取证 实验 


D http://www. dc3. mil/ 
回 http://www. rctfl. gov/ 
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室 也 与 美 欧 同步 ,处 于 一 个 较 高 的 水 平 。 

香港 警方 的 取证 实验 室 (Computer Forensics Lab) 如 图 9.2 所 示 。 在 2002 年 建设 时 候 
初步 尝试 进行 区 域 的 合理 规划 和 取证 设备 的 合理 集成 ,以 求 最 大 限度 地 提高 设备 的 利用 率 
和 发 挥 人 员 能 力 , 其 实验 室 建 设 理念 和 思路 给 大 陆 警方 提供 了 很 好 的 依 鉴 。 


图 9. 2 香港 警方 取证 实验 室 


相对 于 境内 外 发 展 较 高 的 国家 和 地 区 ,我 国电 子 数据 取证 实验 室 走 出 了 一 条 符合 中 国 
网 络 犯 罪 侦查 要 求 的 建设 思路 。 

2000 年 开始 , 随 着 网 络 犯罪 的 发 展 草 延 ,很 多 执法 部 门 意识 到 电子 数据 的 重要 性 ,开始 
配备 专业 人 才 和 装备 。 由 于 我 国电 子 数据 并 未 列 人 法 定 证 据 类 型 中 ,电子 数据 的 法 律 效率 
不 被 认可 ,电子 数据 取证 更 多 的 是 为 侦查 服务 ,普遍 处 于 “有 业务 无 机 构 ” 的 状态 。 电 子 数据 
取证 人 员 巾 侦查 队伍 中 熟悉 计算 机 的 执法 人 员 兼 任 , 使 用 的 设备 一 般 为 便携 类 设备 ,例如 
“勘查 取证 箱 ”, 工 作 目 的 是 “发 现 ? 电 子 数据 ,不 注重 “证 据 链 ”的 形成 。 相 比 西方 发 达 国 家 ， 
整体 的 技术 水 平和 装备 比较 落后 。 但 是 , 随 着 我 国信 息 化 的 飞速 发 展 和 面临 网 络 犯罪 的 严 
峻 形势 ,电子 数据 取证 实验 室 在 建设 上 和 逐步 与 国际 接轨 ,在 各 级 执法 部 门 建成 了 功能 齐全 、 
设备 先进 ,能 够 应 对 复杂 网 络 斗 争 环境 的 实验 室 。 

以 发 展 进程 和 建设 理念 区 分 ,国内 电子 数据 取证 实验 室 建 设 的 发 展 可 以 分 为 两 个 主要 
阶段 : 

第 一 阶段 (2004 一 2010 年 ): 从 无 到 有 ,功能 和 逐步 完善 。 实 验 室 蝇 调 技术 能 力 、 人 员 和 
设备 要 达标 。 

这 一 时 期 是 国内 电子 数据 取证 实验 室 的 发 展 阶段 。 执 法 部 门 先 后 建设 了 符合 实战 需求 
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的 实验 室 ,电子 数据 取证 工作 统一 归纳 于 实验 室 中 进行 。 实 验 室 建设 的 目标 主要 是 “从 无 到 
有 ”。 实 验 室 的 发 展 , 也 改变 了 执法 部 门 的 工作 方式 ,从 重视 侦查 环节 的 "现场 勘 验 ”, 和 逐步 到 
重视 证 据 的 “检验 鉴定 ”>。 实 验 室 建设 基本 达到 “机 构 固 定 >“ 人 员 固 定 >“ 设 备 固定 ”的 要 
求 。 这 一 时 期 实验 室 建 设 的 特点 是 : 

(1) 存储 介质 的 发 展 引 导 实 验 室 的 婆 备 发 展 

取证 目标 -存储 介质 从 以 人 硬盘 为 主 , 办 存 介 质 为 辅 ,发 展 到 硬盘、 闪存 介质 各 占 半 壁 江 
山 。 存 储 容 量 从 不 到 “ 百 GB” 到 “TGB”, 硬 盘 尺 寸 逐 步 统 一 到 3. 5 英寸 .2.5 英寸 ,接口 从 
IDE、SCSI 发 展 到 SATA、SAS、USB 多 种 形态 。 实 验 室 根据 存储 介质 的 发 展 ,先后 配备 支 
持 SCSI、IDE、SATA、SAS、USB 只 读 接 口 的 复制 设备 和 只 读 设 备 。 由 于 便 盘 接口 的 种 类 比 
较 多 ,还 需要 增 配 大 量 3. 5 只 才 转 接 2.5 瑞 寸 、1.8 英寸 的 转 接 卡 (IDE、SATA 硬盘 ); 68 针 
转 50 针 、80 针 转 SCSI 硬盘 转 接 卡 。 取 证 分 析 从 使 用 国外 的 产品 ,例如 Guidance Software 
的 EnCased 和 AccessData 的 FTKS2 ,发 展 到 使 用 国内 厂商 生产 的 符合 国内 取证 需要 的 综 
合 取 证 工具 。 

随 看 实验 室 的 发 展 ,为 了 能 够 同时 分 析 多 个 存储 介质 ,提高 工作 效率 ,有 的 实验 室 把 几 
种 不 同类 型 的 只 读 锁 集中 到 一 台 专 用 分 析 工 作 站 上 ,使 得 单机 可 以 同时 处 理 多 个 接口 的 硬 
盘 , 大 大 提高 了 工作 效率 ,促使 取证 设备 问 着 “一 体式 、 多 功能 ”集成 设备 的 方 回 发 展 。 由 于 
取证 便 件 和 软件 基本 都 具备 复制 功能 ,复制 设备 逐渐 蜀 化 甚至 趋 于 淘汰 。 实 验 室 开始 考虑 
建设 无 侍 环境 以 应 对 故障 或 损毁 人 硬盘 的 数据 提取 ,部 分 国家 级 和 省 级 电子 数据 取证 实验 室 
建设 无 侍 工 作 台 和 无 尘 室 ,满足 了 故障 硬盘 的 开盘 维修 工作 需 

(2) 实验 室 建 设 采 取 节 点 分 析 、 存 储 分 离 的 方案 ( 见 图 9. 3) 

这 种 建设 方案 的 实验 室 的 操作 方式 仍 为 传统 的 办 公 工 位 方式 。 每 人 使 用 一 台 取 证 设备 
进行 工作 ,以 单机 为 节点 进行 分 析 , 存 储 系 统 在 分 析 处 理 系 统 的 各 个 节点 上 ,节点 之 间 并 无 
联系 。 有 的 实验 室 通 过 传输 链 路 连接 各 个 节点 。 这 种 建设 方案 实现 简单 ,投入 小 ,在 短期 内 
可 以 发 挥 出 非常 重要 的 作用 。 但 缺点 也 很 明显 ,分析 和 存储 各 自 为 战 ,无 法 形成 一 个 整体 。 
设备 的 数量 同 工 作 能 力 成 正比 ,受制 于 单机 性 能 ,单机 取证 效率 不 高 ,对 于 数据 挖掘 不 够 充 
分 。 同 时 使 用 普通 的 千 兆 网 络 连 接 ,互相 传输 数据 速率 很 低 。 实 验 室 成 型 后 ,能 力 上 很 难 扩 
展 。 设 备 升级 困难 ,一 旦 存储 介质 更 新 换代 , 原 有 设备 只 能 淘汰 。 

第 二 阶段 (2010 一 2015 年 ): 从 弱 到 强 、 建 设 趋 于 人 合理。 实验 室 采用 基于 中 心 存 储 与 分 
布 式 处 理 的 建设 方案 ,强调 规范 化 管理 和 质量 控制 。 

实验 室 建 设 经 过 十 年 的 积累 ,已 经 形成 了 符合 中 国 网 络 犯罪 侦查 实际 需要 的 电子 数据 
取证 的 方法 和 体系 。 实 验 室 承担 的 业务 已 经 从 单纯 的 侦查 配合 ,延伸 到 检验 鉴定 和 科研 工 
作 。 这 一 时 期 的 实验 室 建 设 的 特点 是 : 
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电子 数据 取证 实验 室 拓扑 
( 太 扩 分析 、 和 存储 分 离 ) 


I iT 


密码 破解 服务 网 络 打 印 机 
信 集 群 


介质 取证 工作 站 ”介质 取证 工作 站 手机 取证 工作 站 介质 取证 工作 站 介质 取证 工作 站 


内 部 取证 网 


图 9.3 节点 分 析 、 存 储 分 析 的 实验 室 架 构 


(1) 实验 室 的 技术 沪 备 癌 看 集成 化 、 系 统 化 的 方 回 发 展 

这 一 时 期 的 存储 设备 形态 和 接口 已 经 趋 于 稳定 ,而 存储 容量 和 传输 速度 得 到 了 高 速 发 
展 , 固 态 便 盘 逐步 取代 传统 的 机 械 人 硬盘。 实验 室 面 临 着 严峻 的 工作 形势 : 一 方面 因为 电子 
设备 成 本 的 降低 和 普及 应 用 , 送 检 的 存储 介质 数量 大 大 增加 ; 另 一 方面 ,单一 存储 介质 的 最 
高 容量 和 速度 大 大 增加 ,例如 人 硬盘 最 高 容量 已 经 达到 6TB, 固 态 人 硬盘 内 部 传输 率 普 遍 超 过 
几 百 MB/min, 而 人 硬盘 接口 的 传输 率 发 展 换代 缓慢 ,复制 和 读 取 速度 受 限 ,大 容量 的 硬盘 复 
制 和 分 析 时 间 ,已 经 超过 4 个 小 时 以 上 甚至 超过 一 天 。 这 些 都 迫切 要 求实 验 室 提 高 设备 的 
使 用 效率 ,寻求 最 佳 的 取证 条 上 略 。 同 时 要 符合 质量 管理 的 要 求 , 做 到 “证 据 链 ”的 形成 合理 合 
法 。 在 以 上 要 求 推动 下 ,单一 功能 的 取证 设备 逐渐 被 淘汰 ,新 型 的 取证 设备 出 现 。 例 如 , 具 
备 多 个 只 读 接口 的 多 功能 只 读 模 块 , 包 括 IDE、SCSI、SATA、USB 及 闪存 卡 接 口 ,可 以 对 于 
市 面 上 大 多 数 种 类 的 存储 介质 进行 分 析 ; 高 度 集成 的 工作 站 ,具备 多 功能 只 读 接 口 模块 和 
强大 的 并 行 计算 能 力 , 单 台 设备 可 以 分 析 4 块 以 上 的 硬盘 。 而 新 型 的 专用 工作 台 将 多 功能 
取证 设备 般 人 到 内 部 ,将 多 功能 只 谈 模 块 固 定 在 条 面 , 十 分 便于 取证 分 析 工 作 的 开展 , 极 大 
地 提高 了 工作 效率 。 
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(2) 实验 室 建 设 采用 集中 存储 、 分 布 式 处 理 的 建设 方案 
2010 年 《基于 中 心 存储 和 并 行 分 析 的 实验 室 建设 思路 一文 首 次 从 “系统 ”的 角度 对 
实验 室 的 建设 进行 深入 研究 ,提出 了 切实 可 行 义 具备 前 瞻 性 的 方案 ,如 图 9.4 所 示 。 明 显 超 
越 之 前 的 建设 理念 提出 的 : 实验 室 将 单机 的 存储 分 离 出 来 ,集中 以 中 心 存储 形式 存在 。 存 
储 介 奈 使 用 获取 工作 站 形成 镜像 存储 在 中 心 存 储 中 。 分 析 人 处 理 系 统 的 各 个 节点 远程 访问 中 
心 存储 ,对 其 中 的 镜像 进行 并 行 分 析 。 分 析 对 象 均 为 镜像 文件 ,可 以 有 效 避 人 免 存储 介质 损坏 
和 旋 操 作 人 情况 出 现 , 同 时 由 于 万 兆 局 域 网 技术 的 使 用 ,该 技术 也 大 大 捉 升 了 实验 室 分 析 速 
度 。 实 验 室 的 工作 速度 和 效率 大 幅度 提高 ,扩容 升级 也 较为 方便 。 这 一 建设 思路 ,将 实验 室 
从 仍 求 设备 的 种 类 和 数量 的 发 展 阶 段 提 升 到 追求 效率 与 管理 并 重 的 系统 化 建设 阶段 。 各 个 
厂商 根据 这 一 建设 思路 ,提出 了 进一步 的 建设 方案 ,例如 瑞 源 文 德 的 “云龙 "建设 方案 、 美 亚 
柏 科 的 “ 云 取 证 ”建设 方案 。 
电子 取证 实验 室 网 络 拓扑 图 
(中 心 存储 、 关 行 处 理 ) 
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四 内 部 取证 网 天 中 互联 网 
图 9.4 中 心 存 储 、 并 行 处 理 的 实验 室 机 构 


2012 年 ,新 刑 诉 法 正式 确定 "电子 数据 "作为 法 定 证 据 类 型 。 法 律 的 进步 对 于 公安 机 关 
的 实验 室 在 “证 据 链 ” 的 形成 要 求 更 为 严格 。 公 安 机 关 普 遍 参加 实验 室 认 可 以 建立 质量 管理 


@ 大 连 市 公安 局 网 络 安全 保卫 支队 的 刘 浩 阳 和 广西 壮族 上 自治 区 公安 厅 网 络 安全 保卫 总 队 的 陈 兴 文 提出 。 
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体系 ,保证 检验 鉴定 的 质量 。 实 验 室 从 “ 人治? 迅速 走 同 "法 治 >。 而 使 用 实验 室 管理 系统 ,可 
以 达到 质量 控制 .过 程 监管 的 目的 ,其 委托 、 检 材 流 苇 、 检 验 鉴 定 、 报 告 审核 等 环节 通过 扩 术 
手段 ,实现 日 动 处 理 ,减少 人 工控 制 环 市 。 


9.2 实验 室 建设 原则 


1. 强调 建设 的 系统 性 

在 建设 中 要 满足 电子 数据 取证 各 个 步骤 的 要 求 , 统 一 规划 ,统一 标准 ,统一 管理 。 将 各 
取证 节点 和 设备 根据 功能 要 求 ,将 他 们 组 成 一 个 有 效 的 系统 。 

2. 突出 建设 的 实用 性 

建设 应 该 满足 科研 和 实战 两 方面 的 需求 ,重点 放 在 为 一 线 实 战 部 门 提供 技术 与 服务 文 
持 , 强 调 实 际 应 用 效果 ,把 是 否 取 得 实战 效益 作为 衡量 建设 成 功 与 否 的 标准 。 

3. 注重 建设 的 先进 性 

建设 要 与 电子 数据 取证 先进 技术 的 发 展 同步 ,在 满足 司法 活动 发 展 对 电子 数据 鉴定 的 
需求 ,保障 系统 长 久生 命 力 的 前 提 下 ,保证 实验 室 技术 的 先进 性 .安全 性 和 可 扩展 性 。 同 时 
具备 一 定 的 前 脆性 ,保证 在 未 来 的 一 段 时 间 内 能 够 保证 技术 的 领先 ，。 

4. 把 握 建 设 的 连续 性 

实验 室 建 设 要 坚持 “滚动 式 ?建设 思路 。 处 理 好 实验 室 建设 发 展 和 原 有 设备 的 连续 性 的 
关系 ,在 发 展 的 前 提 下 ,充分 合理 地 利用 现 有 的 设备 ,使 其 与 更 为 先进 的 设备 能 够 进行 功能 
互补 ,数据 共享 ,发 挥 其 工作 能 力 。 

s. 严格 质量 管理 的 规范 性 

在 实验 室 人 硬件 条 件 得 到 加 强 的 同时 ,要 保证 检验 鉴定 的 质量 ,需要 建立 有 效 的 质量 管理 
体系 。 按 照 CNAS-CL08: 2013《 司 法 鉴定 法 寿 科 学 机 构 能 力 认 可 人 准则》 等 规则 的 要 求 , 对 实 
验 室 的 人 员 .设备 、 检 材 、 标 准 方法 .环境 .鉴定 质量 进行 全 流程 的 控制 ,保证 证据 链 ”的 
可 徘 。 


9.3 实验 室 建设 的 标准 和 规范 


(1) 法 律 规定 。 例 如 全 国人 大 第 委 会 4 关于 司法 鉴定 管理 问题 的 决定 》《 中 华人 民 共 和 
国 刑事 诉讼 法 》《 公 安 机 关 电 子 数 据 鉴定 规则 》 等 法 律 和 法 规 。 

(2) 装备 标准 。 包 括 各 级 主管 部 门 发 布 的 装备 标准 。 

(3) 电子 数据 取证 标准 。 包 括 国家 标准 和 行业 标准 ( 详 见 第 三 草 ) 。 

(4) 实验 室 认 可 规定 ; 包括 CNAS-CL08: 2013《 司 法 鉴定 法 庭 科学 机 构 能 力 认 可 准 
则 》CNAS-CL27: 2014《 司 法 鉴定 /法 庭 科 学 机 构 能 力 认 可 准则 在 电子 物证 鉴定 领域 的 应 
用 说 明 》CNAS-AL14: 2013《 司 法 鉴定 /法 庭 科 学 机 构 认 可 仪 硕 配置 要 求 》 等 规定 。 
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(5) 建筑 建设 标准 。 包 括 实 验 室 建筑 技术 规范 (GB 50346 一 2004) .综合 布线 系统 工程 
设计 规范 (GB 50311 一 2009) ,洁净 厂房 设计 规范 (GB J50073 一 2001) 等 。 
(6) 内 部 工作 规范 和 规定 。 


9.4 未 来 电子 数据 取证 实验 室 的 必 展 


随 着 计算 机 技术 和 网 络 技术 的 不 断 发 展 ,电子 数据 取证 的 挑战 将 会 越 多 ,以 下 几 种 技术 
将 会 在 未 来 几 年 内 应 用 在 电子 数据 取证 实验 室 建设 中 。 

1. GPU 并 行 运算 技术 

传统 的 运算 操作 都 是 在 CPU 上 完成 的 , 随 着 GPU 技术 的 发 展 ,使 用 GPU( 图 形 处 理 
右 ) 来 执行 通用 科学 与 工程 计算 变 得 越 来 越 普 帝 。CPU 的 核心 数目 在 2 核 -8 核 之 间 , 而 
GPU 的 核心 数目 已 经 超过 1000 ,充分 利用 GPU 的 高 浮 点 并 行 运算 功能 将 会 极 大 提高 运算 
效率 。 用 GPU 技术 进行 密码 破解 已 经 在 很 多 解密 应 用 上 得 到 了 巨大 的 效率 提升 。 

今后 的 操作 系统 ,应 用 软件 将 会 越 来 越 多 的 支持 GPU 技术 来 加 速 运算 。 而 在 计算 机 
取证 中 ,GPU 技术 不 但 会 应 用 于 密码 破解 中 , 越 来 越 多 的 取证 软件 也 会 逐步 实现 利用 CPU 十 
GPU 技术 加 速 分 析 过 程 。 

2. 虚拟 化 技术 

基于 中 心 存 储 的 实验 室 ,存储 已 经 实现 集中 分 享 ,但 是 处 理 能 力 还 是 分 布 在 各 个 取证 工 
作 站 上 ,从 管理 角度 ,还 不 是 严格 意义 上 的 统一 管理 。 随 着 虚拟 机 技术 的 成 熟 , 可 以 将 多 个 
工作 站 的 处 理 能 力 集中 到 多 台 高 性 能 的 服务 器 上 ,客户 端 不 需要 高 性 能 的 工作 站 ,通过 远程 
镜像 的 方式 将 取证 系统 映射 到 本 地 。 这 也 是 第 三 代 实 验 室 的 建设 思路 。 这 样 做 有 三 种 好 
处 ,一 是 统一 管理 。 二 是 可 以 防止 病毒 侵袭 。 一 旦 工作 站 环境 染 毒 ,使 用 无 毒 的 虚拟 机 文件 
蔡 换 即 可 。 三 是 降低 建设 成 本 和 技术 门槛 。 不 过 由 于 缺少 实验 室 管理 系统 的 支持 ,目前 资 
源 的 管理 和 调度 还 无 法 实现 ,只 有 等 到 实验 室 管理 系统 的 完善 之 后 ,虚拟 化 技术 在 实验 室 建 
设 上 才 会 起 到 重要 作用 。 

3. 数据 挖掘 技术 

当前 是 数据 爆炸 的 年 代 , 电 子 数据 取证 实验 室 处 理 的 数据 量 达 到 了 惊人 的 地 步 ,包括 存 
储 海量 数据 的 硬盘 .智能 终端 和 网 络 数据 等 ,取证 工作 的 目的 是 为 了 出 具 报 告 。 执 法 部 门 并 
没有 有 效 的 手段 对 接触 到 的 数据 进行 第 选 、 过 滤 \ 保 存 、 查 询 , 所 有 的 数据 都 只 是 在 案件 发 生 
时 使 用 一 下 ,这 些 数 据 由 于 存储 空间 的 限制 而 被 放弃 。 在 当前 各 机 关 单 位 大 力 发 展 电子 数 
据 取证 的 同时 ,如 果 依 然 依靠 传统 的 、. 慢 慢 普 及 的 检验 鉴定 技术 , 则 将 很 快 失去 优势 。 随 着 
取证 工作 的 延伸 进步 ,将 要 求 从 这 些 数据 里 面 对 嫌 疑 人 进行 数据 采集 ,同时 挖掘 潜在 犯罪 的 
线索 。 因 此 ,需要 在 实验 室 建 设 时 建立 有 效 的 数据 收集 体系 ,汇总 研判 ,形成 区 域 性 甚至 全 
国 性 的 数据 研判 中 心 。 
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9.5 实验 室 认 可 概述 


实验 室 认 可 是 对 实验 室 有 能 力 进 行规 定 类 型 的 检测 活动 所 给 也 的 一 种 正式 承认 。 实 验 
室 认 可 不 是 一 个 了 弧 立 的 活动 , 它 与 政治 、 经 济 活 动 密切 相关 。 实 验 室 认可 在 执法 部 门 开展 的 
时 间 较 短 ,执法 部 门 普遍 对 其 理解 不 深 、 认 识 不 到 位 。“ 无 以 规 朱 ,不 成 方 加 ”, 实 验 室 在 运行 
和 发 展 的 同时 ,需要 实验 室 认可 的 质量 管理 体系 来 指导 和 规范 其 活动 ,提高 鉴 乍 结果 的 公正 
性 和 有 效 性 。 


9.5.1 合格 评定 .认证 与 认可 概述 


1. 合格 评定 、 认 证 与 认可 的 概念 2 
合格 评定 (Conformity Assessment) : 与 产品 、 过 程 , 体 系 、 人 员 或 机 构 有 关 的 规定 要 
求 得 到 满足 的 证 实 ; 
认可 (Accreditation) : 正式 表明 合格 评定 机 构 具 备 实 施 特定 合格 评定 工作 的 能 力 的 
第 三 方 证 明 。 认 可 包括 实验 室 认 可 、 检 查 机 构 认 可 和 认证 机 构 认 可 ,实验 室 认 可 是 
认可 的 一 个 子 集 ; 
认证 (CCertification) : 与 产品 \ 过 程 \, 体 系 或 人 员 有 关 的 第 三 方 证 明 。 
合格 评定 机 构 : 从 事 检测 检查 和 认证 活动 的 机 构 分 别 被 称 为 实验 室 、 检 查 机 构 和 
认证 机 构 , 三 者 统称 为 合格 评定 机 构 。 
认可 机 构 : 针对 合格 评定 机 构 , 对 其 进行 认可 的 机 构 。 

用 语 的 发 展 渊源 来 看 ,1994 年 ,世界 贸易 组 织 (The World Trade Organization, WTO) 
将 “贸易 技术 壁垒 协议 (TBT 协定) 协定 中 的 “认证 制度 ”一 词 更 改 为 “合格 评定 制度 ”, 并 在 
定义 中 将 内 涵 扩 展 为 “证 明和 人 符合 拉 术 法 规 和 标准 而 进行 的 第 一 方 日 我 再 明 、 第 二 方 验收 、 第 
三 方 认 证 以 及 认可 活动 ,同时 规定 了 “合格 评定 程序 ”的 内 容 。 因 为 “认证 认可 ”是 “合格 评 
定 ” 活 动 的 体现 形式 ,我 国 目前 仍 称 之 为 “认证 认可 ”活动 。 合 格 评定 制度 有 时 也 称 之 为 “ 合 
格 评定 体系 ”, 认 可 制度 有 时 也 称 为 “认可 体系 ”。 

2. 合格 评定 与 认可 的 关系 

。 对 象 不 后 

检测 .检查 和 认证 等 合格 评定 的 对 象 是 产品 .过 程 、. 体 系 和 人 员 , 认 可 的 服务 对 象 则 是 从 
事 检 测 检查 和 认证 的 合格 评定 机 构 。 

。 活动 与 机 构 的 分 离 

合格 评定 的 专业 领域 包括 检测 、 检 查 和 认证 ,以 及 对 合格 评定 机 构 的 认可 活动 。 因 此 认 
可 活动 是 合格 评定 活动 一 部 分 。 


DD GB/T27000 一 2006 ISO/IEC 17000:2004f 合 格 评定 ”词汇 和 通用 原则 } 的 定义 。 


第 9 章 实 验 室 建设 和 认可 35， 


开展 认可 活动 主体 是 认可 机 构 , 但 认可 机 构 不 是 合格 评定 机 构 , 实 验 室 、 检 查 机 构 和 认 
证 机 构 等 合格 评定 机 构 是 具备 一 定 能 力 的 机 构 , 大 多 数 国家 合格 评定 机 构 间 存在 苑 争 关 系 ， 
而 认可 机 构 为 合格 评定 机 构 提 供 具 备 实施 特定 合格 评定 工作 能 力 的 第 三 方 证 明 。 认 可 机 构 
的 权威 往往 来 日 政府 的 授权 或 指定 ,认可 机 构 在 与 合格 评定 机 构 和 客户 的 关系 加 保持 公正 
中 立 。 

在 合格 评定 体系 中 ,认可 机 构 和 合格 评定 机 构 相 互 独立 又 彼此 关联 ,认可 机 构 证 明 获 准 
认可 的 合格 评定 机 构 在 特定 范围 内 按 国 际 公 认 标 准 具 有 从 事 相 应 检测 .检查 、 认 证 活动 的 能 
力 , 对 所 发 布 认可 绪 采 的 真实 性 ` 有效 性 和 准确 性 负责 ,合格 评定 机 构 负 责 确 傈 其 被 认可 的 
合格 评定 活动 件 合 能 力 要 求 ,并 不 断 持续 改进 提供 可 徘 服 务 。 


9.S.2 实验 时 认可 的 概念 


实验 室 认 可 指 的 是 认可 机 构 对 实验 室 有 人 能力 进行 规定 类 型 的 检测 和 (或 ) 校 准 所 给 于 的 
-种 正式 承认 。 实 验 室 认可 的 目标 是 提高 实验 室 扩 术 能 力 和 你 证 管理 体系 运行 有 效 性 。 


9.5.3 国际 实验 室 认 可 情况 


国际 上 ,作为 合格 评定 的 发 起 方 和 强 有 力 We { 彻 方 ,西方 国家 普遍 对 合格 评定 的 热情 较 
因此 其 实验 室 认 可 的 发 展 也 较为 迅速 和 完善 。 

美国 的 认可 体系 由 两 部 分 组 成 : 美国 标准 与 技术 人 研究 院 (National Institute of 
Standards and Technology，NIST9) 负责 编制 认证 计划 ,由 美国 国家 标准 学 会 (American 
National Standards Institute，ANSIS) 负 责 对 认证 机 构 进 行 认 可 和 管理 。 具 体 的 合格 评定 
工作 巾 政府 和 商业 机 构 两 部 分 组 成 。NIST 的 国家 自愿 性 实验 室 认 可 体系 (National 
Voluntary Laboratory Accreditation Program，NVLAPS9) 和 美国 实验 室 认 可 协会 
(American Association for Laboratory Accreditation, A2LAS) 是 主要 的 联邦 范围 的 实验 室 
认可 体系 。 男 外 还 有 许多 联邦 、 州 和 地 方 政 府 以 及 私人 机 构建 立 的 实验 室 认 可 体系 。 

英国 是 世界 上 较 早 开始 建立 认可 体系 的 国家 ,其 认可 体系 由 星 家 认可 委员 会 (United 
Kingdom Accreditation Service，UKASS) 负 责 建 设 维护 。UKAS 由 原先 的 英国 国家 实验 
室 认 可 机 构 CNAMAS) 和 国家 认证 机 构 认 可 委员 会 (NACCB) 合 并 而 来 ,目前 英国 的 实验 室 
认可 均 由 UKAS 下 的 NAMAS 负责 。NAMAS 是 英国 授权 的 唯一 从 事 校 准 和 检测 实验 室 
的 国家 认可 机 构 。 

1947 年 ,澳大利亚 建立 了 世界 上 第 一 个 实验 室 国 家 认可 机 构 - 国 家 权威 检测 协会 
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(National Association of Testing Authorities,NATAUd) 。 经 过 多 年 的 发 展 ,NATA 的 模式 
成 为 多 数 国定 建立 实验 室 认可 体系 的 典范 。 

20 世纪 80 年 代 东 再 亚 、 新 加 坡 、 马 来 西亚 等 国家 建立 了 实验 室 认 可 机 构 。90 年 代 更 多 
的 发 展 中 国家 (包括 中 国 ) 也 加 入 了 实验 室 认可 行列 。 

20 世纪 70 一 90 年 代 , 在 欧洲 和 亚太 地 区 逐渐 形成 了 两 大 区 域 性 国际 实验 室 认 可 组 织 - 
欧洲 认可 合作 组 织 (European co-operation for Accreditation, EA) 和 亚太 实验 室 认 可 合作 
组 织 (Asia Pacific Laboratory Accreditation Cooperation,， APLACS)。1996 年 9 月 在 荷兰 
正式 成 立 了 国际 实验 室 认 可 合作 组 织 (International Laboratory Accreditation Cooperation， 
ILAC9)。2000 年 11 月 在 ILAC 大 会 上 ,来 自 欧洲 、 亚 太 、 南 美洲 和 南非 的 28 个 成 员 国 的 
36 个 认可 机 构 正 式 签署 了 ILAC 互 认 协议 ,最 终 形成 了 国际 性 的 实验 室 认 可 互 认 。 

9.5.4 实验 室 认 可 在 中 国 的 发 展 情况 

中 国 合格 评定 国家 认可 委员 会 (China National Accreditation 
Service for Conformity Assessment,CNAS) 是 根据 《中 华人 民 共 和 JD、 
国 认证 认可 条 例 ) 的 规定 ,由 国家 认证 认可 监督 管理 委员 会 批准 设 《AAS 
立 并 授权 的 国家 认可 机 构 ,统一 负责 对 认证 机 构 ` 实 验 室 和 检查 术 Ag 到 
网 等 相关 机 构 的 认可 工作 。CNAS 认可 结果 得 到 国际 实验 室 组 织 
的 互 认 ,CNAS 的 认可 活动 已 融入 国际 认可 互 认 体系 中 。CNAS 的 ”图 9.5 CNAS 标 识 
标志 如 图 9.5 所 示 。 


9.5.5 实验 室 认 可 的 概 会 


实验 室 认 可 指 的 是 认可 机 构 对 实验 宝 有 能 力 进行 规定 类 型 的 检测 和 (或 ) 校 准 所 给 予 的 
一 种 正式 承认 。 实 验 室 认可 的 目标 是 提高 实验 室 技术 能 力 和 保证 管理 体系 运行 有 效 性 。 
9.5.6 实验 宣 认 可 的 作用 和 意义 

(1) 表明 具备 了 按 相 应 认可 准则 开展 检测 和 校准 服务 的 技术 能 力 ; 

(2) 增强 市 场 欧 争 能 力 , 左 得 政府 部 门 、 社 会 各 界 的 信任 ; 

(3) 获得 签署 互 认 协议 方 国家 和 地 区 认可 机 构 的 承认 :; 

(4) 有 机 会 参与 国际 间 合 格 评定 机 构 认 可 双边 .多边 合作 交流 ; 
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(5) 可 在 认可 的 范围 内 使 用 CNAS 国家 实验 室 认 可 标志 和 ILAC 国际 互 认 联合 标志 ; 
(6) 列 入 获准 认可 机 构 名 录 , 提 高 知名 度 。 


9.6 司法 鉴定 /法 庭 科学 实验 室 认 可 


司法 鉴定 /法 庭 科 学 实验 室 认 可 ,是 针对 司法 鉴定 /法 庭 科 学 领域 的 鉴定 机 构 鉴 定 能 力 
予以 承认 的 过 程 。 


9.6.1 国际 法 庭 科学 ”实验 室 认 可 的 发 展 


美国 是 公认 的 法 姓 科 学 实验 室 发 展 最 为 成 熟 和 迅 速 的 国家 ,美国 联邦 调查 局 犯罪 实验 
室 (FBI Crime Laboratory) 成 立 于 1932 年 ,至今 已 有 70 余年 的 历史 。20 世纪 初 ,美国 犯罪 
科学 实验 室 理 事 会 /实验 室 认 可 协会 (American Society of Crime Laboratory Directors/ 
Laboratory Accreditation Board,ASCLDVLAB) 初 步 建 立 了 美国 法 庭 科 学 实验 室 认 可 制度 。 
1982 年 伊利 诺 伊 州 8 个 法 庭 科学 实验 室 第 一 批 通 过 该 协会 的 认可 。 截 至 2014 年 12 月 ， 
189 个 国家 实验 室 ,131 个 地 方 实 验 室 ,31 个 联邦 实验 室 ,20 个 国际 (美国 以 外 ) 实 验 室 和 26 
个 私人 获得 了 ASCLD/LAB 的 实验 室 认 可 。 

在 欧洲 ,截至 2014 年 ,欧洲 法 庭 科 学 实验 室 联盟 (European Network of Forensic 
Science Institutes,ENESIO) 的 62 家 鉴定 机 构 , 有 41 家 通过 了 实验 室 认 可 。 


9.6.2 我 国 司 法 鉴定 /法 庭 科 学 实验 室 认可 的 发 展 


在 我 国 , 司 法 鉴定 /法 庭 科 学 实验 室 的 发 展 始终 沛 后 。 改 车 开放 以 后 ,司法 鉴定 /法 庭 科 
学 实验 室 的 发 展 才 走 上 正轨 。 根 据 加 入 WTO 的 具体 要 求 ,我 国 合格 评定 工作 逐步 与 世界 
接轨 。2005 年 2 月 28 日 颁布 的 (全国 人民 代 表 大 会 种 务 委 员 会 大 于 司法 鉴定 管理 的 决定 》 
(简称 人 大 “2. 28 决定 ”) 第 五 条 规定 ,法 人 或 者 其 他 组 织 申 请 从 事 司 法 鉴定 业务 时 ,“ 有 在 业 
务 范围 内 进行 司法 鉴定 所 必需 的 依法 通过 计量 认证 或 者 实验 室 认 可 的 检测 实验 室 ”。 这 就 
从 立法 上 确定 司法 鉴定 /法 庭 科 学 实验 室 要 通过 认可 。 

人 大 “2. 28 决定 ”颁布 后 ,司法 部 于 2005 年 9 月 29 日 颁布 了 95 号 部 长 令 《 司 法 鉴定 机 
构 管理 办 法 》, 公 安 部 于 2005 年 11 月 7 日 颁布 了 83 号 部 长 fig de 
办 法 》, 最 高 检 2006 年 11 月 30 日 颁布 的 (人 民 检 察 院 鉴定 机 构 登 记 管 理 办 法 》。 个 办 
法 中 均 规定 鉴定 机 构 应 是 :“ 有 在 业务 范围 内 进 puesto tt 
室 认 可 的 检测 实验 室 。” 

此 外 《计量 法 ) 第 二 十 条 《国家 认证 认可 条 例 ) 第 十 六 条 、 国 家 质 检 上 总 局 (实验 室 和 检查 


中 “法 庭 科学 "是 国际 通用 的 称呼， 司法 鉴定 "和 ”法庭 科 学 "两 种 称呼 我 国都 使 用 。 
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机 构 资 质 认 定 管理 办 法 》 等 法 律 法 规 和 规章 均 明 确 规定 “ 回 社 会 出 具 具 有 证 明 作 用 的 数据 
和 结果 的 检查 机 构 、 实 验 室 ,应 当 具 备 有 关 法 律 、 行 政法 规 规定 的 基本 条 件 和 能 力 ,并 依 
法 经 认定 后 方 可 从 事 相 应 活动 ”>。 司 法 鉴定 机 构 走 认证 认可 之 路 是 我 国 现行 法 律 法 规 所 
要 求 的 。 

根据 最 高 人 民法 院 在 《关于 适用 (中 华人 民 共 和 国 刑事 诉讼 法 ) 的 解释 (人 简称 刑 诉 法 解 
释 ) ,针对 没有 列 和 人 人 大 “2. 28 决定 ?范围 的 鉴定 项 目 , 可 以 使 用 检验 来 进行 证 据 认 定 。 因 
此 ,从 事 此 类 检验 工作 的 ,尤其 是 电子 数据 取证 实验 室 ,也 参与 到 认证 认可 活动 中 来 。 

我 国 , 司 法 鉴定 /法 庭 科学 的 相关 机 构 可 以 称 为 "司法 鉴定 /检验 实验 室 ? 或 者 “司法 鉴 
定 /检验 中 心 ”, 后 者 也 是 “实验 室 ” 的 特殊 称呼 。2003 年 12 月 北京 市 公安 局 法 医 检验 鉴定 
处 的 DNA 和 毒物 检验 两 个 实验 室 依据 ISO/IEC 17025 标准 首 批 通过 了 CNAL 的 评审 。 

2004 年 4 月 28 日 经 中 国 实验 室 国家 认可 委员 会 (CCNAL,CNAS 前 身 ) 批 准 成 立 了 中 国 
实验 室 国 家 认可 委员 会 技术 委员 会 法 性 科学 分 委员 会 ,负责 该 领域 的 有 关 技 术 工 作 。 同 年 ， 
中 国 实验 室 国家 认可 委员 会 CCNAL) 还 开展 了 针对 司法 鉴定 /法 庭 科 学 实验 室 的 能 力 验 证 

2004 年 4 月 和 6 月 司法 部 司法 科学 鉴定 技术 人 研究 所 实验 室 分 别 依据 ISO/IEC 17020 
和 ISO/IEC 17025 标准 ,通过 了 中 国 实验 室 国 家 认可 委员 会 CCNACL) 的 评审 。 司 鉴 所 实 
验 室 是 国内 首 个 通过 ISO17020 的 司法 鉴定 /法 庭 科学 机 构 。 

经 过 10 余年 的 认可 实践 ,在 公安 部 ,司法 部 、 最 高 检 等 有 关 政 府 部 门 的 积极 推动 下 , 司 
法 鉴定 /法 姓 科 学 机 构 认 可 工作 已 经 全 面 开 展 。 截 至 2015 年 5 月 31 日 ,CNAS 共 认可 司法 
鉴定 /法 庭 科 学 机 构 353 家 ,其 中 公安 系统 196 家 ,司法 系统 122 家 ,检察 院 系 统 35 家 ,涉及 
法 医 、 物 证 、 声 像 资 料 等 三 大 类 及 电子 数据 领域 ,包括 法 医 临 床 、 法 医 病 理 、 法 医 物证 、 法 医 毒 
化 、 文 检 . 雏 迹 .微量 声 像 贫 料 .电子 数据 等 专业 。 


9.6.3 实验 室 认可 与 资质 认定 的 区 别 


根据 人 大 “2. 28? 决 定 , 鉴 定 机 构 需 要 “有 在 业务 范围 内 进行 司法 鉴定 所 必需 的 依法 通过 
计量 认证 或 者 实验 室 认 可 的 检测 实验 室 ”。 但 是 在 实践 操作 中 ,对 于 实验 室 认 可 和 资质 认 
定 ,有 着 各 种 模糊 的 认识 。 

资质 认定 ,是 指 省 级 以 上 质量 技术 监督 部 门 依据 有 关 法 律 法 规 和 标准 、 技 术 规 范 的 规 
定 ,对 检验 检测 机 构 的 基本 条 件 和 技术 能 力 是 否 符合 法 定 要 求实 施 的 评价 许可 。 资 质 认 是 
包括 检验 检测 机 构 计 量 认证 。 

鉴定 机 构 需 要 通过 实验 室 认 可 或 者 资质 认定 的 其 中 一 项 ,就 从 合 人 大 “2. 28” 的 要 求 。 
同时 实验 室 认 可 与 资质 认 征 主管 部 门 都 是 国家 认证 认可 监督 管理 委员 会 ,目的 都 是 提高 实 
验 室 管 理 水 平和 技术 能 力 ,考核 依据 都 是 根据 CNAS-CL08: 2013《 司 法 鉴定 /法 庭 科学 机 
构 能 力 认 可 准则 兴 资 质 认 和 定 增 加 一 些 特 殊 要 求 ) 。 

实验 室 认 可 和 资质 认定 的 不 同 之 处 如 表 9. 1 所 示 。 
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表 9.1 实验 室 认可 与 资质 认定 的 区 别 


包括 所 有 的 实验 室 ， 第 一 二、 三 方 , 检 | 检 测 / 校 准 实验 室 ,必须 第 三 方 (资质 认定 包括 第 二 方 工 

测 /校准 ,为 检查 或 产品 认证 服务 等 。 ”| 程 检测 实验 室 ) 

”| 我 国 的 法 律 法 规 (中 华人 民 共和 国 计 量 法 光 中 华人 民 共 
odie 和 国标 准 化 法 XK 中 华人 民 共 和 国产 品质 量 法 M 中 华人 

民 共 和 国 认证 认可 条 例 》 

性 质 强制 性 

实施 | 中 国 合格 评定 国家 认可 委员 会 (CCNAS) | 国务 院 主 管 部 门 和 省 部 级 管理 部 门 组 织 实施 ,两 级 管 

主体 | 统一 管理 ,统一 实施 ,统一 发 证 理 , 国 家 认 监 委 和 省 级 资质 认定 部 门 发 证 


9.6.4 实验 室 认 可 与 司法 鉴定 /检验 的 关系 


由 于 司法 鉴定 /检验 的 现状 和 诸多 法 律 法 规 的 要 求 不 同 , 实 验 室 认可 与 司法 鉴定 /检验 
的 关系 往往 不 被 人 理解 。 很 多 情况 下 ,实验 室 认 可 和 司法 鉴定 /检验 被 混为一谈 ,甚至 被 当 
成 一 种 收费 许可 。 理 清 实 验 室 认可 与 司法 鉴定 /检验 的 关系 ,对 于 促进 基层 司法 鉴定 /检验 
工作 顺利 发 展 有 着 重要 意义 : 

1. 一 者 要 求 不 同 

实验 室 认 可 是 对 实验 室 进行 规定 类 型 的 检测 鉴定 活动 的 能 力 所 给 予 的 一 种 正式 承认 ; 
司法 鉴定 /检验 是 在 诉讼 活动 中 ,鉴定 机 构 的 鉴定 人 或 检验 机 构 的 检验 人 运用 科学 技术 或 者 
专门 知识 ,对 专门 性 问题 进行 鉴别 和 判断 并 提供 鉴定 /检验 意见 的 活动 。 

实验 室 认 可 关注 是 否 具备 相应 的 能 力 。 实 验 室 认 可 的 主要 目标 是 整个 管理 体系 ,是 通 
过 “人 、 机 、 料 法 、 环 ` 测 ?等 要 求 维护 实验 室 的 质量 管理 体系 ,将 实验 室 的 鉴定 /检验 能 力 维 
持 在 一 个 稳定 的 水 平 ,目的 是 为 客户 提供 可 靠 的 服务 。 而 司法 鉴定 /检验 则 关注 鉴定 /检验 
资质 ,通过 行政 许可 审查 鉴定 机 构 和 鉴定 人 是 否 符 合 相 应 的 要 求 , 通 过 审核 鉴定 机 构 和 鉴定 
人 来 达到 一 个 准 入 的 要 求 , 例 如 鉴定 /检验 机 构 的 设备 .资产 .面积 ,鉴定 /检验 人 的 学 历 和 工 

司法 鉴定 /检验 资质 和 实验 室 认 可 是 两 个 截然 不 同 的 领域 ,不 能 混为一谈 ,而 且 通 过 实 
验 室 认 可 并 不 意味 着 获得 司法 鉴定 /检验 资质 ,而 获得 司法 鉴定 /检验 资质 也 不 能 等 同 于 通 

2. 一 者 收费 条 件 不 同 

社会 服务 类 的 司法 鉴定 /检验 机 构 ,在 获得 司法 行政 机 构 的 许可 、 备 案 和 公示 后 ,经 物价 
局 核准 ,可 以 对 外 收费 ,经 营 获得 便利 主要 用 于 司法 鉴定 /检验 机 构 的 正常 运行 ,同时 为 了 提 
供 鉴 定 信誉 .规范 鉴定 流程 ,社会 服务 类 的 司法 鉴定 /检验 机 构 积 极 参 加 实验 室 认 可 。 某 些 


对 象 
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侦查 机 关 片 面 以 为 ,获得 司法 鉴定 /检验 人 资质 或 者 通 过 实验 室 认 可 就 可 以 收费 人 盘 利 。 但 是 根 
据 人 大 “2. 28 "决定 等 相关 法 律 规 定 ,侦查 机 关 所 属 的 鉴定 机 构 ,无 论 是 否 获 得 司法 鉴定 资质 
或 者 通过 实验 室 认 可 ,和 都 不 允许 面 癌 社会 接受 委托 从 事 经 营 性 的 有 途 的 司法 鉴定 /检验 业 
务 。 因 此 ,侦查 机 关 的 鉴定 /检验 机 构 获 得 司法 鉴定 /检验 资质 或 通过 实验 室 认 可 并 不 是 总 
味 看 获得 收费 许可 的 前 提 条 件 。 


9.6.5 授权 签字 人 与 鉴定 人 的 关系 


CNAS-CL08: 2013《 司 法 鉴定 /法 庭 科 学 机 构 能 力 认 可 准则 ;规定 : 授权 签字 人 是 “由 鉴 
定 机 构 最 高 管理 肴 任命 ,并 经 认可 评审 考核 合格 ,负责 授权 范 于 内 鉴定 文书 技术 性 审核 和 签 
发 的 鉴定 人 ”。 鉴 是 人 是 “经 过 行政 管理 部 门 审核 批准 ,并 取得 相关 执业 证 明 , 从 事 司 法 鉴 
定 / 法 庭 科学 领域 鉴定 业务 的 人 员 ”。 

CNAS-CL27: 2014 司 法 鉴定 /法 庭 科 学 机 构 能 力 认 可 准则 在 电子 物证 鉴定 领域 的 应 
用 说 明 》 规 定 : 从 事 电子 物证 鉴定 的 鉴定 人 应 具有 计算 机 科学 与 技术 等 相关 专业 大 学 本 科 
以 上 (包括 大 学 本 科 ) 学 历 , 并 具备 在 电子 物证 鉴定 领域 的 执业 资格 ; 电子 物证 鉴定 授权 签 
字 人 际 满足 上 述 要 求 外 ,还 应 有 5 年 以 上 的 本 专业 鉴定 人 工作 经 历 ,或 取得 中 级 职称 后 从 事 
本 专业 鉴定 人 工作 3 年 以 上 。 

授权 签字 人 和 鉴定 人 一 样 ,都 是 一 种 责任 ,要 求 的 是 能 力 , 而 不 是 权力 。 授 权 签 字 人 也 
是 维护 实验 室 检 验 鉴 定 能 力 的 把 关 者 ,授权 签字 人 关注 的 是 实验 室 的 能 力 。 同 时 授权 签字 
人 是 经 认可 机 构 认 可 ,允许 在 被 认可 实验 室 报告 上 签发 市 认可 标识 的 人 员 ,表明 实验 室 具 备 
相应 的 得 到 广泛 认可 的 检验 鉴定 能 力 , 而 鉴定 人 的 签字 ,仅仅 是 证 明 具 备 鉴 定 资质 ,而 非 证 
明 能 力 的 高 低 ,是 不 允许 使 用 认可 标识 的 。 


9.6.6 司法 鉴定 /法 庭 科学 认可 的 标准 


中 国 合 格 评定 国家 认可 委员 会 (CNAS) 为 适应 国际 互 认 的 新 要 求 , 满 足 司法 鉴定 /法 庭 
科学 认可 发 展 的 新 需求 ,制定 了 CNAS-CL08:2013《 司 法 鉴定 /法 庭 科学 机 构 能 力 认可 
准则 》。 

CNAS-CL08 准则 覆盖 了 ISO/IEC 17025 ;2005《 检 测 和 校准 实验 室 能 力 认 可 准则 》 中 所 
有 的 省 理 要 求 和 技术 要 求 ,同时 本 准则 中 的 部 分 条 于 要 求 和 注解 引用 了 ISO/IEC 17020: 
2012《 检 查 机 构 能 力 认可 准则 》、ILAC-G19《 法 庭 科学 机 构 认 可 指南 》 中 的 部 分 内 容 和 中 国法 
律 法 规 的 相关 要 求 。CNAS-CL08 准则 目 2013 年 9 月 1 日 实施 ,将 蔡 代 CNAS-CL01《 检 测 
和 校准 实验 室 能 力 认可 准则 》(ISO/IEC 17025:;2005) 和 CNAS-CI01《 检 查 机 构 能 力 认 可 准 
则 》CISO/IEC 17020: 2012) ,作为 CNAS 对 司法 鉴定 /法 庭 科学 机 构 认 可 的 依据 。 与 
CNAS-CL01 相 比 较 ,准则 在 委托 受理 ,分 包 、 投 诉 、 记 录 的 控制 人员、 设备 和 鉴定 文书 的 审 
核 等 方面 有 较 大 的 变化 。 
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9.6.7 司法 鉴定 /法 庭 科学 认可 的 领域 和 方法 


1. 司法 鉴定 /法 寿 科 学 的 领域 
国家 认可 委 2013 年 12 月 发 布 了 CNAS-AL13《 司 法 鉴定 /法 庭 科学 机 构 认 可 领域 分 
类 》, 对 法 医 、 物 证 . 声 像 资料 .电子 物证 的 领域 及 其 项 目 做 了 具体 的 规定 ,其 中 电子 数据 的 领 
域名 称 为 “电子 物证 ”, 共 分 为 三 大 分 领域 .十 五 个 项 目 , 如 表 9. 2 所 示 。 
表 9.2 司法 鉴定 /法 庭 科学 的 领域 表 
分 领域 及 项 目 


2401 电子 数据 的 提取 .固定 与 恢复 
01 计算 机 存储 介质 
02 做 人 式 系统 
03 移动 终端 (包括 手机 ) 
04 智能 卡 \ 磁 卡 
05 数码 设备 
06 网 络 数据 (包括 互联 网 数据 ) 
07 计算 机 系统 现场 数据 ( 特 指 运行 中 的 系统 数据 提取 ) 
2402 电子 数据 真实 性 (完整 性 ) 鉴 定 
01 电子 签名 
02 电子 邮件 
03 即时 通信 
04 电子 文档 
05 数据 库 
2403 电子 数据 同一 性 、 相 似 性 鉴定 
01 软件 
02 电子 文档 
03 集成 电路 ( 含 世 片 ) 


2. 司法 鉴定 /法 许 科 学 的 方法 

实践 中 我 国 开 展 电子 数据 取证 的 机 构 越 来 越 多 ,但 因 缺 乏 统 一 的 技术 标准 和 操作 规范 ， 
长 期 以 来 各 个 电子 数据 取证 机 构 有 时 依据 行业 经 验 或 自行 制定 的 鉴定 方法 出 具 鉴 定 报 告 ， 
使 得 法 院 无 法 获得 规范 的 、 符 合法 律 要 求 的 电子 数据 取证 报告 作为 审判 的 可 信 技 术 依 据 , 鉴 
定 结论 的 科学 性 ,客观 性 .公正 性 受到 了 一 定 程度 的 影 啊 。 

综 上 ,电子 数据 取证 标准 的 不 完善 已 成 为 我 国电 子 数 据 取 证 规范 化 发 展 的 簿 颈 ,电子 数 
据 取证 标准 化 已 成 为 电子 数据 取证 领域 迫切 需要 解决 的 现实 问题 。 

与 国外 的 标准 制定 相 比 ,我 国电 子 数据 取证 标准 化 工作 起 步 较 晚 。 目 前 ,国家 标准 化 委 
员 会 、 公 安 部 .司法 部 .最 高 检 等 相关 部 门 意识 到 司法 鉴定 /法 庭 科学 的 相关 技术 标准 的 重要 
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性 ,已 经 加 快 相关 电子 数据 检验 鉴定 技术 标准 的 编写 和 发 布 工作 ,相关 的 标准 也 会 越 来 越 
多 ,以 适应 和 满足 不 断 增 长 的 电子 数据 检验 鉴定 要 求 。 从 正式 发 布 的 电子 数据 取证 标准 来 
看 ,目前 有 二 十 二 项 标准 ,其 中 国家 标准 三 项 .其 余 为 行业 标准 ( 详 见 附 录 )。 


9.7 电子 数据 取证 实验 军 认可 


根据 新 刑 诉 法 第 四 十 八条 ,“ 电 子 数据 ”作为 证 据 的 一 种 ,已 经 从 法 律 上 予以 明确 。 电 子 
数据 作为 新 兴 的 证 据 类 型 ,已 成 为 执法 破案 和 司法 审判 不 可 或 缺 的 关键 证 据 之 一 。 电 子 数 
据 取 证 指 经 过 资格 认定 的 专业 人 员 基 于 计算 机 科学 原理 和 技术 ,按照 符合 法 律 规 定 的 程序 ， 
发 现 固定、 提取 、 分 析 、 检 验 . 记录 和 展示 电子 设备 中 存储 的 电子 数据 , 找 出 与 案件 事实 之 间 
的 客观 联系 ,确定 其 证 明 力 并 提供 鉴定 意见 的 活动 。 


9.7.1 国内 外 电子 数据 取证 实验 室 认 可 


从 发 展 历程 来 看 ,国际 上 电子 数据 法 庭 科 学 实验 室 对 认可 的 起 步 较 早 ,认识 较 这 。 实 验 
室 通过 认可 工作 推动 质量 体系 的 完善 ,对 于 提高 鉴定 质量 起 到 积极 的 推动 作用 。 美 国 从 20 
世纪 70 年 代 末 就 开始 建立 法 庭 科学 的 实验 室 认 可 制度 。 澳 大 利 亚 1992 年 开始 法 庭 科学 实 
验 室 认可 工作 。 

但 是 电子 数据 作为 新 兴 事物 ,在 近 10 年 才 逐 渐 被 各 国 纳 入 法 庭 科学 范围 ,开展 实验 室 
认可 工作 。2002 年 国际 实验 室 认 可 组 织 颁 布 的 《法庭 科 学 实验 室 认 可 指南 》(IIAC-G19) 中 
明确 将 声音 、 图 像 、 计 算 机 纳入 法 庭 科 学 实验 室 认可 范围 ,这 就 扫 清 了 电子 数据 作为 实验 室 
认可 的 障碍 ,通过 认可 的 电子 数据 法 庭 科 学 实验 室 数量 不 断 增加 。 

我 国电 子 数 据 取证 实验 室 认 可 工作 虽然 起 步 较 晚 ,但 是 对 于 电子 数据 作为 认可 领域 ,很 
星 就 进行 了 深入 的 研究 。 电 子 数据 已 成 为 中 国 合格 评定 国家 认可 委员 会 (China National 
Accreditation Service for Conformity Assessment, CNAS) 司 法 鉴定 /法 星 科 学 实验 室 认 可 
的 新 领域 。2014 年 CNAS 发 布 了 检测 和 校准 实验 室 能 力 认 可 准则 在 电子 物证 检验 领域 的 
应 用 说 明 》CNAS-CL27) 和 《司法 鉴定 / 法庭 科学 认可 领域 分 类 》CCNAS-AL13) 来 规范 电子 
数据 取证 实验 室 的 认可 工作 。 

截至 2014 年 12 月 ,大 陆地 区 通过 CNAS 认可 的 电子 数据 取证 实验 室 有 44 家 ,其 中 公 
安 28 家 ,检察 院 8 家 ,司法 8 家。 重庆 市 公安 局 电子 物证 司法 鉴定 中 心 是 国内 通过 认可 的 
第 一 个 公安 部 门 电子 数据 取证 实验 室 。 中 国 台 湾 地 区 第 一 个 电子 数据 取证 机 构 一 一 法 务 部 
调查 局 2 资 安 鉴 识 实 验 室 于 2013 年 11 月 28 日 通过 ISO/IEC 17025 认可 。2014 年 6 月 , 勤 
业 众 信和 会 计 师 事务 所 成 立 的 “ 资 安 科技 既 鉴 识 分 析 中 心 ”, 是 中 国 台湾 地 区 民间 首座 国家 认 
证 的 电子 数据 取证 实验 室 。 


@ 原 国民 沈 军 统 局 
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9.7.2 CNAS-CL27: 2014《 司法 鉴定 /法 庭 科 学 机 构 能 力 认 可 准则 
任 电 子 物 证 鉴定 领域 的 应 用 说 明 》 要 点 


2014 年 4 月 1 日 ,CNAS 发布 了 认可 规范 文件 CNAS-CL27: 2014《 司 法 鉴定 /法 庭 科学 
机 构 能 力 认可 准则 在 电子 物证 鉴定 领域 的 应 用 说 明 》。 从 2014 年 5 月 1 日 起 ,CNAS 对 相 
关 实 验 室 实 施 的 评审 将 以 该 应 用 说 明 作为 评审 依据 。 应 用 说 明 是 针对 电子 物证 司法 鉴定 领 
域 的 特性 ,对 《司法 鉴定 /法 姓 科 学 机 构 能 力 认可 准则 中 一 些 特定 条 于 所 做 的 进一步 说 明 ，。 
应 用 说 明 充 分 考虑 了 电子 物证 司法 鉴定 领域 的 如 下 特点 : 

(1) 考虑 了 为 保证 鉴定 过 程 的 可 追溯 性 ,鉴定 记录 中 应 记录 所 有 软 硬 件 设备 的 操作 参 
数 、 检 出 数据 的 完整 性 校 验 值 和 出 现 异常 数据 的 原因 ; 

(2) 与 2010 年 版 不 同 ,遵照 了 相关 法 律 法 规 要 求 ,增加 了 对 鉴定 机 构 和 鉴定 人 员 的 要 
求 : 从 事 电 子 数据 检验 鉴定 的 鉴定 人 应 具有 计算 机 科学 与 技术 等 相关 专业 大 学 本 科 以 上 
(包括 大 学 本 科 ) 学 历 , 并 具备 在 电子 数据 检验 鉴定 领域 的 执业 资格 ; 电子 数据 检验 鉴定 授 
权 签 字 人 除 满 足 上 述 要 求 外 ,还 应 有 5 年 以 上 的 本 专业 鉴定 人 工作 经 历 ,或 取得 中 级 职称 后 
从 事 本 专业 鉴定 人 工作 3 年 以 上 ; 

(3) 根据 《中 华人 民 共 和 国 刑事 诉讼 法 ) 第 一 百 八 十 七 条 第 三 蒜 《 中 华人 民 共 和 国民 和 囊 
诉讼 法 ) 第 七 十 八条 和 《全 国人 民 代 表 大 会 常务 委员 会 关于 司法 鉴定 管理 问题 的 决定 第 十 
一 条 中 对 鉴定 人 出 庭 质证 的 要 求 而 考虑 加 入 了 鉴定 人 出 庭 质证 能 力 的 培训 内 容 ; 

(4) 根据 电子 物证 的 特性 ,考虑 到 鉴定 机 构 应 具备 保护 其 信息 网 络 安全 的 措施 ,包括 防 
范 计 算 机 病毒 等 恶意 代码 .防范 网 络 人 侵 和 防范 数据 泄露 等 的 设施 要 求 ; 

由 于 电子 数据 取证 大 多 数 检 出 结果 是 电子 数据 ,易于 复制 和 扩散 ,对 于 涉 密 案件 的 检验 
鉴定 结果 应 考虑 相 应 保护 政策 和 程序 ; 

(5) 电子 设备 .存储 设 备 应 考 读 防磁 和 防 静 电 措施 ,手机 检验 应 在 屏蔽 信和 与 环境 中 

(6) 在 条 件 允 许 的 情况 下 ,应 对 送 检 的 存储 设备 进行 完整 性 备份 ; 

(7) 检 材 /样本 的 标识 系统 设计 考虑 到 检 材 /样本 存在 组 件 的 情况 ; 

(8) 软件 的 升级 应 记录 其 名 称 和 版 本 号 ; 

(9) 实验 室 应 定期 对 检验 所 使 用 的 软件 工具 的 功能 进行 核查 ; 

(10) 对 检 出 的 结果 数据 传输 时 ,要 使 用 电子 签名 或 其 他 电子 加 蜜 方式 传送 。 


9.7.3 电子 数据 取证 实验 旦 认可 流程 


实验 室 认 可 流程 如 图 9. 6 所 示 , 适 用 于 所 有 开展 检测 或 校准 活动 的 实验 室 。 电 子 数据 
取证 实验 室 认可 除了 要 杂 守 CNAS 的 基本 规则 准则 外 ,还 需要 遵守 CNAS-CL27:2014《 司 
法 鉴定 法 硅 科 学 机 构 能 力 认 可 准则 在 电子 物证 鉴定 领域 的 应 用 说 明 》。 


368 电子 数据 取证 


间 问 申请 阶段 


能 力 验证 (适用 时 ) 正式 申请 阶段 上 
评审 准备 阶段 
li 复评 、 扩 项 阶段 


文件 评审 阶段 


现场 评审 阶段 
(包括 现场 见证 ) 


认可 批准 阶 自 
监督 阶段 


9.6 实验 室 认可 申请 流程 图 


1. 意 回 申请 
申请 人 可 以 利用 电话 、 电 子 邮件 、 来 访 等 方式 直接 向 CNAS 秘书 处 询问 申请 要 求 和 注 


意 事 项 。 申 请 者 可 以 在 CNAS 网 站 上 下 载 最 新 版 的 申请 相关 要 求 、 表 格 和 说 明 。 同 时 
CNAS 秘书 处 也 有 义务 回 申 请 人 提供 最 新 版 本 的 认可 规则 和 其 他 有 关 文 件 。 

需要 阅读 并 遵照 执行 的 CNAS 文件 有 : 

认可 规则 (CR 系列 ): CNAS 实施 认可 活动 的 政策 和 程序 ,包括 通用 认可 规则 (R 系列 ) 
和 实验 室 专 用 认可 规则 类 (RL 系列 ) 文 件 。 电 子 物证 领域 实验 室 认 可 需要 遵守 的 有 : 

* CNAS-R01: 2015《 认 可 标识 使 用 和 认可 状态 声明 规则 》; 

。 CNAS-R02: 2011《 公 正 性 和 保密 规则 》; 

* CNAS-R03: 2010《 申 诉 、 投 诉 和 争议 处 理 规则 》; 

。 CNAS-RL01: 2011《 实 验 室 认可 规则 》(2013 年 第 1 次 修订 清 稿 ); 

。 CNAS-RL02: 201 以 能 力 验 证 规则 》; 

*。 CNAS-RL03: 2013《 实 验 室 和 检查 机 构 认 可 收费 管理 规则 》。 

认可 准则 (C 系列 ): CNAS 认 可 的 合格 评定 机 构 应 满足 的 基本 要 求 ,包括 基本 准则 (如 
等 同 采用 的 相关 ISO/IEC 标准 、 导 则 等 ) 以 及 对 其 的 应 用 指南 或 应 用 说 明 ( 如 采用 的 IAF、 
ILAC 制定 的 对 相关 ISO/IEC 标准 、 导 则 的 应 用 指南 ,或 其 他 相关 组 织 制定 的 规范 性 文件 ， 
以 及 CNAS 针对 特别 行业 制定 的 特定 要 求 等 ) 文 件 。 电 子 物证 领域 实验 室 认 可 需要 章 守 
的 有 : 

。 CNAS-CL08: 2013《 司 法 鉴定 法 庭 科 学 机 构 能 力 认 可 准则 》 

。 CNAS-CL06: 2014 测 量 结果 的 湖 源 性 要 求 》; 

。* CNAS-CL27;2014《 司 法 鉴定 法 姓 科 学 机 构 能 力 认 可 准则 在 电子 物证 鉴定 领域 的 应 
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用 说 明 》; 

。 CNAS-CL52: 20144CNAS-CLO1( 检 测 和 校准 实验 室 能 力 认 可 准则 ;应 用 要 求 》。 

认可 指南 (G 系列 ): CNAS 对 认可 准则 的 说 明 或 应 用 指南 ,包括 通用 和 专项 说 明 或 应 
用 指南 类 文件 。 电 子 数 据 取 证 实验 室 认 可 需要 遵守 的 有 : 

。 CNAS-GL01: 2015《 实 验 室 认可 指南 》; 

。 CNAS-GL02: 2014《 能 力 验证 结果 的 统计 人 处理 和 能 力 评价 指南 》; 

。 CNAS-GL09: 2014《 实 验 室 认可 评审 不 符合 项 分 级 指南 )》; 

。* CNAS-GL12: 2007《 实 验 室 和 检查 机 构 内 部 审核 指南 》; 

。* CNAS-GL13: 2007《 实 验 室 和 检查 机 构 管 理 评审 指南 》; 
CNAS-GL32: 2012《 司 法 鉴定 法 姓 科 学 领域 检验 鉴定 能 力 验 证 实施 指南 》; 

。 CNAS-GL36: 2014《 司 法 鉴定 法 庭 科学 鉴定 过 程 的 质量 控制 指南 》。 

认可 方案 (S 系列 ): 是 CNAS 针对 特别 领域 或 行业 对 上 述 认可 规则 、 认 可 准则 和 认可 
指南 的 补充 ,电子 物证 领域 实验 室 认 可 目前 不 涉及 。 

认可 委 的 认可 规范 文件 随 着 认可 需求 动态 更 新 ,应 当 根 据 申 请 时 最 新 版 本 为 准 。 

2. 建立 质量 管理 体系 

电子 数据 取证 实验 室 遵 照 CNAS-CL08《 司 法 鉴定 /法 庭 科学 机 构 能 力 认 可 准则 》, 按 照 
“人 机 、 料 、 法 、 环 ”等 方面 建立 符合 实验 室 运行 情况 的 质量 管理 体系 。 这 几 个 环节 按照 实验 
室 的 具体 的 要 求 有 所 侧重 。 对 于 电子 数据 取证 实验 室 , 人 员 设备、 检 材 .方法 和 检验 鉴定 过 
程 都 需要 重点 关注 ,详细 设计 。 

(1) 人 员 管 理 

电子 数据 取证 实验 室 应 当 制 定 人 员 管 理 程序 。 根 据 CNAS 对 实验 室 认可 的 要 求 , 对 实 
验 室 人 员 进 行 职能 分 工 。 实 验 室 人 员 分 工 一 般 按照 职能 进行 ,不 能 全 部 比照 行政 职位 。 
般 来 说 ,最 高 管理 者 由 行政 职务 最 高 者 担任 ,质量 负责 人 、 技 术 负 责 人 按照 实验 室 日 背 工 作 
分 工 由 最 熟悉 质量 管理 和 技术 水 平 最 高 者 担任 。 授 权 签 字 人 是 经 过 CNAS 审核 ,可 以 签发 
CNAS 标识 报告 的 人 ,并非 有 权力 的 人 ,一 般 不 宜 由 实验 室 行政 管理 者 担任 。 

最 高 管理 者 : 是 组 织 建 立 质量 管理 体系 的 决策 者 ,是 实施 质量 管理 体系 并 持续 改进 其 

有 效 性 的 关键 组 织 成 员 。 

质量 负责 人 : 负责 实验 室 质量 管理 体系 及 其 运行 ,并 可 就 此 直接 回 最 高 管理 者 汇报 的 

组 织 成 员 。 

技术 负责 人 : 全 面 负 责 技 术 运 作 和 提供 确保 实验 室 运 作 质 量 所 需 的 资源 的 组 织 成 员 。 

授权 签字 人 : 由 鉴定 机 构 最 高 管理 者 任命 ,并 经 认可 评审 考核 合格 ,负责 授权 范围 内 鉴 
定 文书 技术 性 审核 和 签发 的 鉴定 人 。 

审核 员 : 有 能 力 实 施 审核 的 人 员 ,包括 内 审 员 和 外 审 员 。 

鉴定 人 : 经 过 行政 管理 部 门 审 核 批 准 并 取得 相关 执业 证 明 , 从 事 司 法 鉴定 /法 庭 科学 领 
域 鉴 定 业 务 的 人 员 。 
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实验 室 应 对 关键 人 员 进 行 授 权 ,关键 人 员 包 括 两 类 ,一 类 是 "涉及 检测 和 /或 校准 的 关键 
员 ”, 即 指 检测 鉴定 人 员 。 男 一 类 检测 和 /或 校准 有 影响 的 关键 人 员 , 即 采购 人 员 ,设备 维 

护 人 员 样品 管理 人 员 等 。 实验 室 应 定期 评价 被 授权 人 员 的 持续 能 力 ，。 

(2) 设备 管理 

电子 数据 取证 实验 室 应 当 制 定 设 备 管理 程序 。 将 影响 检验 鉴定 结果 的 设备 保存 设备 档 
案 ,为 每 台 设 备 进行 唯一 性 标识 。 软 件 等 同 于 设备 。 唯 一 性 标识 应 当 尽 可 能 的 牢固 的 附 于 
设备 本 体 ,而 不 要 附 于 包装 或 者 容 希 上 ,以免 混 消 。 软 件 可 以 将 唯一 性 标识 附加 于 加 密 狗 
上 。 软 件 升级 时 ,应当 记录 软件 的 名 称 和 升级 后 的 版 本 号 。 

只 有 校准 设备 才 需 要 期 间 核 查 , 电 子 数据 取证 实验 室 使 用 的 设备 不 属于 校准 设备 ,只 需 
要 做 功能 核查 即 可 ,不 需要 期 间 核 查 。 

(3) 检 材 管理 

电子 数据 取证 实验 室 应 当 制 定 检 材 管理 程序 , 检 材 的 管理 应 当 制 定 一 套 行 之 有 效 的 管 
理 流程 。 保 证 检 材 /样本 的 完整 性 ,包括 : 

J 在 条 件 允 许 的 情况 下 ,应 对 送 检 的 存储 设备 进行 完整 备份 ,并 只 在 副本 上 进行 处 理 


与 分 析 ; 
在 没有 兰 代 方法 只 能 直接 操作 检 材 /样本 时 ,应 尽 可 能 避免 对 检 材 /样本 造成 永久 性 
改变 ， 


G) 如 不 可 避免 可 能 对 检 材 /样本 造成 永久 性 改变 ,必须 征 得 客户 的 同意 ,评估 对 检 材 / 
样本 的 影响 ,并 以 书面 和 录像 方式 记录 操作 过 程 。 

检 材 应 当 使 用 唯一 性 标识 ,防止 混 消 。 唯 一 性 标识 应 当 牢 回 的 附 于 检 材 本 号 或 不 可 温 
消 的 包装 上 上。 例如 送 检 物品 为 内 涵 1TB 便 盘 的 台式 计算 机 ,唯一 性 标识 应 当 附 于 1TB 硬 
盘 本 号 ,而 不 是 台式 计算 机 。 检 材 的 流转 和 保管 应 当 防 磁 、 防 静电 或 者 电子 信号 隅 离 屏 蔽 。 

(4) 方法 管理 

电子 数据 取证 实验 室 应 当 制 定 方法 管理 程序 。 实 验 室 要 根据 认可 申请 的 领域 确定 使 用 
的 方法 ,没有 必要 采用 现行 所 有 的 方法 。 例 如 没有 申请 移动 终端 (包括 手机 ) 的 子 领域 ,就 不 
必 使 用 GA/T1069-2013 法 庭 科学 电子 物证 手机 检验 技术 规范 。 方 法 要 使 用 现行 有 效 的 版 
本 ,要 注意 行业 标准 是 否 已 经 变更 为 国家 标准 中。 

实验 室 除 了 使 用 标准 方法 外 ,是否 还 使 用 非 标 方法 。 要 注意 ,标准 方法 要 证 实 . 非 标 方 
法 要 确认 。 同 时 要 注意 ,检验 鉴定 文书 中 使 用 通过 认可 的 方法 才能 以 使 用 认可 标识 ,使 用 非 
认可 的 方法 不 能 使 用 认可 标识 ,部 分 使 用 认可 的 方法 可 以 使 用 认可 标识 ,但 是 需要 在 文书 中 
注 明 。 

(5) 环境 条 件 

由 于 电子 数据 取证 实验 室 使 用 的 设备 以 计算 机 设备 为 主 , 很 少 有 特种 设备 。 计 算 机 设 


根据 (中 华人 民 共 和 国标 准 化 法 ) 第 六 条 规定 ,行业 标准 上 升 到 国家 标准 后 ,行业 标准 目 动 废止 。 


第 9 章 ”实验 室 建设 和 认可 371 


备 属 于 宽 温 设备 ,一 般 工 作 于 0 一 30 摄氏 度 , 因 此 在 温度 上 ,电子 数据 取证 实验 室 没 有 特殊 
要 求 ,也 不 需要 对 温度 进行 监控 。 

根据 CNAS-CL27 的 规定 ,电子 物证 司法 鉴定 /法 庭 科 学 实验 室 应 具备 防 静 电 设 施 , 手 
机 鉴定 应 在 屏蔽 手机 信号 的 环境 中 进行 。 实 验 室 应 具备 保护 其 信息 网 络 安 全 的 措施 ,包括 
防范 计算 机 病毒 等 恶意 代码 、 防 范 网 络 人 侵 和 防范 数据 泄露 等 。 鉴 定 机 构 的 办 公 与 鉴定 区 
域 应 进行 有 效 的 阳 离 。 

(6) 其 他 要 求 

电子 数据 取证 实验 室 应 当 建 立 文件 控制 .记录 控制 程序 和 结果 报告 控制 程序 。 文 件 包 
括 内 部 文件 和 外 部 文件 ,文件 要 确定 是 否 受 控 ,同时 要 有 唯一 性 编号 。 记 录 包 括 质 量 记 录 和 
技术 记录 ,质量 记录 包括 内 部 审核 报告 .管理 评审 报告 .纠正 措施 和 预防 措施 等 ,技术 记录 是 
检验 鉴定 中 实时 获得 的 数据 或 结果 。 结 果 报 告 控 制程 序 规定 了 实验 室 出 具 的 《电子 数据 取 
证 意见 或 《电子 数据 检验 报告 的 编号 和 发 送 等 要 求 。 

实验 室 还 应 当 建 立 完善 有 效 的 委托 受理 程序 ,以 确定 与 委托 方 之 间 的 合同 ,包括 委托 项 

对 于 分 包 和 抽样 ,实验 室 应 当 根 据 具体 情况 确定 是 否 需 要 分 包 和 抽样 。 一 般 说 来 ,电子 
数据 取证 实验 室 很 少 分 包 和 抽样 。 

实验 室 不 能 忽略 质量 控制 和 质量 监督 的 要 求 。 质 量 探 制 是 针对 整个 检验 鉴定 结果 , 目 
的 是 防止 发 出 错误 报告 ,质量 监督 是 针对 人 员 的 控制 ,目的 是 保证 人 员 具 备 能 力 。 当 实验 室 
出 现 不 符合 项 时 ,应 当 采 取 纠 正 或 /和 预防 措施 。 

(7) 编写 质量 体系 文件 

建立 质量 管理 体系 的 同时 ,应 当 将 其 文件 化 ,实验 室 应 当 组 织 人 员 ,按照 质量 管理 体系 
运行 的 实际 情况 ,编写 质量 体系 文件 。 质 量 体 系 文件 由 质量 手册 .程序 文件 .作业 指导 书 和 
记录 表格 4 个 部 分 组 成 ,如 图 9.7 所 示 。 质 量 体 系 文件 形成 金字 塔 的 形式 , 塔 尖 的 第 一 层次 
是 质量 手册 ,质量 手册 是 鉴定 机 构 的 纲领 性 文件 ; 第 二 层次 是 程序 文件 ,是 质量 手册 中 原则 
性 要 求 的 展开 与 落实 ,提供 鉴定 机 构 如 何 完成 质量 管理 体系 过 程 活动 的 详细 信息 ; 第 三 层 
次 是 作业 文件 (包括 各 种 管理 制度 、 作 业 指 导 书 ) ,是 指导 操作 人 员 进 行 具体 操作 的 指南 ; 第 
四 层次 是 记录 表格 (包括 各 种 表格 ,技术 记录 ), 是 对 鉴定 机 构 完 成 质量 管理 活动 或 达到 的 结 
果 提 供 证 据 的 文件 。 

质量 体系 文件 编写 可 以 与 质量 管理 体系 的 建立 同步 进行 ,这 样 有 助 于 质量 体系 文件 与 
质量 管理 体系 的 高 度 契 合 。 按 照 CNAS 要 求 ,质量 管理 体系 完整 有效 的 运行 6 个 月 以 上 ， 
并 且 进 行 过 内 部 审核 和 管理 评审 , 方 可 进行 正式 申请 。 

(8) 对 人 员 进 行 宣 贯 和 培训 

管理 体系 的 文件 化 ,主要 是 为 了 贯彻 执行 ,确保 检验 鉴定 的 质量 。 

首先 ,实验 室 人 员 应 按照 职能 分 工 ,转换 思路 ,从 原来 的 行政 角色 转变 为 实验 室 能 力 角 
色 上 来 ,严格 按照 质量 体系 文件 的 要 求 进行 工作 。 其 次 ,实验 室 按照 认可 要 求 对 人 员 进 行 相 
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程序 文件 


作业 指导 书 


记录 表格 


图 9.7 质量 体系 文件 层次 图 


应 的 培训 。CNAS-CL01 认可 准则 明确 指出 “体系 文件 应 传达 至 有 关 人 员 ,并 被 其 理解 、 获 
取 和 执行 >。 体 系 文件 的 熟悉 ,不 能 只 是 体系 文件 的 编写 者 ,同时 也 要 兼顾 执行 对 象 , 比 如 质 
量 手册 的 宣 贯 培训 ,应 当 针 对 全 体 人 员 ,要 求实 验 室 全 体 人 员 都 清楚 。 程 序 文件 的 宣 贯 和 培 
训 , 可 以 根据 管理 体系 要 素 的 职能 分 配 ,针对 相关 部 门 和 人 员 分 别 进 行 。 作 业 指 导 书 的 宣 贯 
和 培训 ,主要 针对 具体 从 事 此 项 工作 的 人 员 ,特别 是 操作 者 。 

(9) 内 部 审核 

“内 部 审核 ”, 也 称 为 第 一 方 审核 ,是 由 组 织 自 行 组 织 的 审核 活动 。 内 审 的 目的 是 验证 实 
验 室 的 运行 是 否 符 合 管理 体系 的 要 求 。 在 质量 管理 体系 正式 运行 后 ,需要 进行 一 次 以 上 的 
内 部 审核 。 

内 审 的 组 织 : 内 审 应 当 提 前 制定 方案 ,按照 CNAS 要 求 , 内 审 每 年 度 至 少 实施 一 次 。 质 
量 人 负责 人 是 内 审 方案 的 制定 者 ,可 以 担任 内 审 组 长 ,也 可 以 指定 其 他 人 员 进 行内 容 。 内 审 员 
应 当 尽 量 独立 被 审核 的 活动 ,不 能 审核 自己 从 事 或 者 负责 的 活动 。 

(10) 管理 评审 

质量 管理 体系 正式 运行 后 ,除了 内 部 审核 ,还 需要 进行 一 次 管理 评审 。CNAS CL08 规 
定 ， “鉴定 机 构 的 最 高 管理 者 应 根据 预定 的 计划 和 程序 ,定期 地 对 本 机 构 的 管理 体系 和 鉴定 
活动 进行 评审 ,以 确保 其 持续 适用 和 有 效 , 并 进行 必要 的 变更 或 改进 ”。 管 理 评 审 的 目的 是 
确保 管理 体系 持久 的 适宜 性 、 充 分 性 和 有 效 性 。 

3. 正式 申请 

质量 管理 体系 正式 运行 超过 6 个 月 , 且 进 行 了 完整 的 内 审 和 管理 评审 ,参加 了 至 少 一 项 
能 力 验证 计划 、 比 对 计划 或 者 测量 审核 并 达到 满意 结果 ,申请 人 的 质量 管理 体系 和 技术 活动 
运作 处 于 稳定 运行 状态 后 ,可 以 提交 正式 申请 ,交纳 申请 费用 。 

提交 的 申请 文件 可 以 在 CNAS 网 站 上 下 载 ,实验 室 需要 根据 自身 情况 ,按照 司法 鉴定 / 
法 庭 科 学 领域 代码 如 实 填 写 ,为 了 降低 申请 难度 而 减少 申请 领域 ,或 者 盲目 扩大 申请 领域 都 
是 不 可 取 的 。 
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CNAS 秘书 处 审查 申请 人 正式 提交 的 申请 资料 , 若 申 请 人 提交 的 资料 齐全 、 填 写 清楚 、 
正确 ,对 CNAS 的 相关 要 求 基本 了 解 , 人员 和 方法 符合 要 求 ,可 以 予以 正式 受理 ,并 在 3 个 
月 内 安排 现场 评审 。 否则 ,应 进一步 了 解 情 况 。 

4. 评审 准备 

CNAS 正式 受理 后 一 般 在 3 个 月 内 安排 现场 评审 。CNAS 将 选择 具有 资格 的 、 满 足 专 
业 背 景 要 求 的 数量 适当 的 评审 员 和 技术 专家 组 成 评审 组 (指定 一 名 组 长 ) ,一 般 电 子 物证 实 
验 室 评审 组 为 2 人 。CNAS 按照 申请 方 的 专业 领域 要 求 组 建 评 审 组 。 评 审 组 审查 申请 人 提 
交 的 质量 管理 体系 文件 和 相关 资料 , 当 发 现 文件 不 符合 要 求 时 ,评审 组 或 CNAS 通知 申请 
人 采取 纠正 措施 。 在 申请 人 采取 有 效 纠 正 措施 解决 发 现 的 主要 问题 后 ,评审 组 长 才 可 以 与 
申请 人 商定 现场 评审 的 具体 时 间 安 排 和 评审 计划 , 报 CNAS 秘书 处 批准 后 实施 。 

5. 现场 评审 

(1) 评审 组 构成 : 一 名 组 长 ,负责 审核 质量 管理 体系 方面 的 资料 。 评 审 员 : 每 个 申请 由 
一 名 该 领域 的 具有 相应 评审 能 力 的 评审 员 负 责 考 核 申 请 项 目的 鉴定 能 力 。 以 上 评审 专家 由 
认可 委 在 认可 委 的 评审 专家 库 里 随机 选择 ,评审 员 一 般 为 本 行业 的 技术 权威 经 认可 委培 训 
考核 合格 后 聘用 。 

(2) 评审 时 间 : 根据 申请 的 项 目 多 少 一 般 为 2 天 ,时 间 一 般 安排 在 周 六 周 日 进行 。 

(3) 考核 方式 : 查 文件 .通过 实际 案例 分 析 写 出 鉴定 书 和 检查 已 完成 的 鉴定 文书 的 形 


式 进行 。 
(4) 审核 对 象 : 主要 的 鉴定 人 员 、 关 键 的 管理 岗位 人 员 和 授权 签字 人 (签发 鉴定 文书 
的 人 )。 


(5) 审核 要 上 点: 评审 组 依据 CNAS 的 认可 准则 、 规 则 和 要 求 及 有 关 方 法 标准 对 申请 方 
申请 范围 内 的 技术 能 力 和 质量 管理 活动 进行 现场 评审 。 在 现场 评审 时 ,应 参考 .利用 申请 方 
参与 能 力 验 证 活动 的 情况 及 结果 ,必要 时 安排 测量 审核 。 评审 组 还 要 对 申请 人 的 授权 签字 
人 进行 考核 。 

(6) 现场 试验 

在 现场 试验 项 目的 选择 上 ,评审 组 将 尽量 选择 标准 变更 、 扩 项 或 上 一 次 评审 中 未 做 过 的 
项 目 ,或 者 能 力 验 证 ,实验 室 比 对 活动 中 存在 问题 的 项 目 。 对 于 多 次 参加 CNAS 能 力 验证 
计划 并 获得 满意 结果 的 项 目 ,评审 组 可 人 免除 该 项 目的 现场 试验 。 现 场 评审 过 程 中 ,技术 评审 
员 将 目击 试验 人 员 进 行 检 测 操作 的 全 过 程 ,观察 操作 者 如 何 操作 设备 ,如 何 记 录 , 数 据 分 析 
是 否 正 确 , 使 用 方法 是 否 合 理 以 及 出 具 的 报告 是 否 正 确 等 。 现 场 试验 人 员 宜 由 经 验 丰 证、 技 
术 较 高 的 鉴定 人 担任 ,现场 操作 须 按照 文件 规定 准确 进行 。 

现场 试验 的 方法 包括 : 盲 样 试验 , 比 对 试验 和 现场 常规 试验 。 现 场 和 常规 试验 是 最 常 采 
用 的 现场 试验 方法 ,常规 试验 的 项 目 可 在 现场 评审 前 与 评审 组 沟通 。 

(7) 授权 签字 人 考核 

授权 签字 人 考核 时 作为 CNAS 现场 评审 的 一 个 项 目 , 时 间 通 常设 置 在 现场 评审 的 后 
期 ,时 长 约 为 15 一 30 分 钟 。 评审 组 长 在 查阅 申请 人 的 有 关 痛 景 资 料 后 ,主要 采用 面谈 方式 
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对 申请 进行 评审 ,评审 员 和 /或 技术 专家 协助 ,适时 提问 。 问 题 包括 质 量 管理 .专业 技术 方面 
的 内 容 , 并 对 评审 发 现实 验 室 存在 的 问题 、 溥 弱 环 节 进 行 探 讨 , 以 考核 授权 签字 人 的 管理 、 技 
术 能 力 。 评 审 组 最 终 将 做 出 推荐 为 认可 的 授权 签字 人 或 不 推荐 的 建议 ,并 确定 推荐 认可 签 
字 的 范围 。 通 过 授权 签字 人 的 考核 可 以 反映 出 实验 室 的 技术 水 平 ,一般 需 事 先 元 分 准备 ,有 
利于 考核 当场 的 发 挥 。 现 场 考核 时 ,评审 组 对 授权 签字 人 从 以 下 几 方 面 的 能 力 进 行 考核 。 

现场 评审 结论 分 : 符合 .基本 符合 ( 需 对 不 符合 的 纠正 措施 进行 跟 足 )、 不 符合 三 种 ,由 
评审 组 在 现场 评审 结束 时 给 出 。 评 审 组 长 会 在 现场 评审 末次 会 议 上 ,将 现场 评审 报告 复印 
件 提 交 给 被 评审 方 。 被 评审 方 在 明确 整改 要 求 后 应 拟订 纠正 措施 计划 ,并 在 三 个 月 内 完成 ， 
对 监督 、 复 评审 的 ,在 一 或 二 个 月 内 完成 ,提交 给 评审 组 。 评 审 组 应 对 纠正 措施 的 有 效 性 进 
行 验证 。 待 纠正 措施 验证 后 ,评审 组 长 将 整改 验收 意见 连同 现场 评审 资料 报 CNAS 秘书 
处 ,准备 认可 评定 。 

6. 认可 评定 

CNAS 秘书 处 负责 将 评审 资料 及 所 有 其 他 相关 信息 (如 能 力 验 证 .投诉 .争议 等 ) 提 交 给 
评定 委员 会 ,评定 委员 会 对 申请 人 与 认可 要 求 的 符合 性 进行 评价 并 作出 决定 。 评 定 结果 可 

(1) 同意 认可 ; 

(2) 部 分 认可 ; 

(3) 不 子 认 可 

(4) 补充 证 据 或 信息 ,再 行 评 定 。 

如 通过 评定 ,CNAS 将 回 获 准 认 可 实验 室 / 检 查 机 构 和 颁发 认可 证 书 , 认 可 证 书 有 效 期 为 3 
年 。CNAS 秘书 处 负责 将 获得 认可 的 机 构 及 其 被 认可 范围 列 人 获准 认可 机 构 名 录 , 子 以 公布 。 


7. 监督 评审 
监督 评审 分 为 定期 监督 评审 和 不 定期 监督 评审 。 
8. 复评 审 


复评 审 是 认证 到 期 后 的 评审 ,复评 审 的 流程 等 同 于 初次 评审 。 认 可 有 效 期 (三 年 ) 到 期 
前 六 个 月 提出 复评 审 申请 ，。 


9.8 能 力 验 证 


能 力 验 证 : 利用 实验 室 间 比 对 ,按照 预先 制定 的 准则 评价 参加 者 的 能 力 。 

CNAS 应 要 求实 验 室 通 过 参加 能 力 验 证 来 证 明 其 能 力 ,能 力 验 证 是 外 部 质量 控制 的 重 
要 方式 。 能 力 验 证 的 相关 规定 有 : 

(1) CNAS-RL02: 2010《 能 力 验 证 规则 》 

(2) CNAS-GL32: 2012 司法 鉴定 /法 庭 科 学 领域 检验 鉴定 能 力 验 证 实施 指南 》 

能 力 验 证 活动 对 主管 机 构 判 断 电 子 数据 检验 鉴定 实验 室 的 技术 能 力 , 了 解 并 指导 各 地 
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实验 室 的 建设 有 重要 意义 ; 电子 数据 检验 鉴定 实验 室 通 过 能 力 验 证 回馈 的 结果 和 专家 建议 
作为 内 部 质量 控制 ,发 现 问 题 和 持续 改进 的 重要 途径 。 能 够 为 公安 机 关 提 供 能 力 验 证 的 单 
位 有 公安 部 第 二 研究 所 (公安 部 物证 鉴定 中 心 )、 公 安 部 第 三 研究 所 (上 海 展 星 电子 数据 司法 
鉴定 中 心 ) ,司法 部 司法 鉴定 科学 技术 研究 所 。 

根据 CNAS 规定 ,实验 室 初 次 申请 认可 的 每 个 子 领域 应 至 少 参加 过 1 次 能 力 验证 且 获 
得 满意 结果 (申请 认可 之 日 前 3 年 内 参加 的 能 力 验证 有 效 )。 在 通过 认可 后 ,能 力 验证 频次 
的 要 求 应 满足 CNAS 能 力 验 证 频次 表 , 对 于 电子 物证 领域 ,要 求 是 参加 能 力 验 证 的 频次 是 
两 年 一 次 。 


9.8.1 实验 室 参 加 能 力 验 证 的 基本 流程 


1. 制定 计划 

参考 CNAS-AL07《CNAS 能 力 验 证 领域 和 频次 表 》, 确 定 能 力 验证 的 领域 和 频次 。 根 
据 CNAS, 公 安 部 ,司法 部 公布 的 能 力 验 证 计划 信息 ,选择 所 要 参加 的 PT 计划 。 

2. 报名 

问 能 力 验 证 提供 机 构 报 名 申请 参加 相关 计划 ,缴纳 相关 能 力 验 证 费用 。 能 力 验 证 提供 
机 构 会 发 送 给 实验 室 检 材 样品 及 作业 指导 书 。 实 验 室 按照 作业 指导 书 和 相关 方法 要 求 检 验 
鉴定 并 报告 结果 ,如 期 回报 结果 。 

3. 结果 报告 和 整改 

能 力 验 证 机 构 根 据 判 定 结 果 发 布 最 终 报告 。 获 得 不 满意 结果 的 实验 室 , 按 照 CNAS- 
RL02《 能 力 验 证 规则 》4. 2.7 款 和 4.2.8 球 采 取 相 应 措施 ,实验 室 的 纠正 撞 施 和 验证 活动 应 
在 180 天 内 完成 ,并 在 180 天 内 将 实施 纠正 措施 的 记录 以 及 纠正 措施 有 效 性 证 明 材 料 提交 
CNAS 秘书 处 确认 。 

能 力 验证 出 现 不 满意 结果 ,应 当 采 取 纠 正 措施 并 验证 ,纠正 措施 有 效 性 的 验证 方式 有 以 
下 方式 : 

(1) 再 次 参加 CNAS 组 织 或 承认 的 能 力 验 证 计划 ; 

(2) 参加 测量 审核 ; 

(3) 通过 CNAS 评审 组 的 现场 评价 。 

对 于 能 力 验 证 不 满意 ,CNAS 评审 组 提高 现场 评审 的 要 求 , 一 般 以 育 样 测试 等 方式 进 
行 , 并 需 将 检 材 样品 相应 参数 的 指定 值 与 实验 室 测 试 结果 进行 比 对 , 绪 打 提交 给 CNAS 秘 
书 处 。 


9.9 本 革 小 结 


本 曹 从 实验 室 的 硬件 (建设 ) 和 软件 (认可 ) 两 方面 详细 曾 述 了 实验 室 建设 的 现状 和 思 
路 、 实 验 室 认 可 的 意义 和 流程 。 实 验 室 建设 是 电子 数据 取证 的 重要 组 成 部 门 ,实验 室 认可 是 
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保证 实验 室 正常 高 效 运行 的 必要 保障 ,二 者 密 不 可 分 ,是 一 个 有 机 整体 。 只 有 充分 认识 到 实 
验 室 建设 和 认可 的 重要 性 ,才能 保证 电子 数据 取证 工作 在 鉴定 检验 过 程 中 的 质量 。 


. 我国 实验 室 发 展 的 第 一 阶段 的 特点 是 什么 ? 

. 我 国 实验 室 发 展 的 第 二 阶段 使 用 的 建设 方案 是 什么 ? 
. 简 述 实验 室 的 建设 原则 。 

， 未 来 实验 室 会 使 用 哪些 技术 ? 

什么 是 实验 室 认 可 ? 

.实验 室 认可 与 资质 认定 的 区 别 是 什么 ? 

， 司 法 鉴定 /法 庭 科学 的 认可 的 标准 有 哪些 ? 

.司法 鉴定 /法 庭 科 学 的 认可 目前 有 多 少 个 标准 ? 请 列举 出 5 个 。 
). 电子 数据 取证 实验 室 认可 的 基本 流程 是 什么 ? 

10. 质量 体系 文件 的 层次 分 为 哪 几 部 分 ? 

11. 能 力 验 证 是 什么 ? 意义 何在 ? 


CO 


电 了 于 数据 取证 实例 


本 章 学 习 目 标 

。 电子 数据 存在 性 取证 的 适用 范围 方法、 取证 思路 ,流程 和 人 案例 
。 电子 数据 同一 性 取证 的 适用 范围 方法、 取证 思路 流程 和 人 案例 
。 电子 数据 行为 性 取证 的 适用 范围 方法、 取证 思路 ,流程 和 人 案例 
。 电子 数据 功能 性 取证 的 适用 范围 .方法 、 取 证 思路 ,流程 和 人 案例 


10.1 电子 数据 存在 性 取证 

在 案件 侦查 和 办 理 中 ,常常 需要 查找 特定 的 文件 ,确定 这 些 文件 是 否 被 创建 ,编辑 \ 保 
存 、 发 送 、 打 印 、 播 放 过 ,这 些 文件 可 能 是 图 片 视频、 文本 ,也 可 能 被 删除 或 加 密 。 
10.1.1 电子 数据 存在 性 取证 的 定义 

电子 数据 存在 性 取证 指 通过 电子 数据 取证 技术 ,综合 判定 特定 内 容 文件 是 否 被 进行 了 
保存 .访问 、 处理 等 动作 ,以 改变 其 原始 性 的 行为 。 
10.1.2 电子 数据 存在 性 取证 的 方法 

电子 数据 存在 性 取证 主要 使 用 以 下 方法 : 

(1) GB/T 29362 一 2012 电子 物证 数据 搜索 检验 规程 ; 

(2) GB/T 29360 一 2012 电子 物证 数据 恢复 检验 规程 ; 

(3) GA/T 756 一 2008 数字 化 设备 证 据 数 据 发 现 提取 固定 方法 ; 

(4) GA/T 1174 一 2014 电子 现场 数据 现场 获取 通用 方法 。 

除了 上 述 方法 ,还 可 以 根据 需要 选择 适合 的 国家 标准 或 行业 标准 方法 。 
10.1.3 电子 数据 存在 性 取证 针对 的 案件 类 型 

电子 数据 存在 性 取证 针对 的 案件 类 型 有 : 泄漏 国家 秘密 (机 密 ) 案 、 传 播 虚 假 谣 言 案 、 虚 
开发 票 案 .组 织 他 人 偷 越 国境 和 案 .传播 淫秽 物品 案 伪造 国家 机 关 人 公文、 证件 .印章 案 等 。 
10.1.4 电子 数据 存在 性 取证 的 思路 

电子 数据 存在 性 取证 的 思路 是 查找 相关 文件 被 保存 、 创建. 访问 、 编 辑 . 打印 的 记录 。 根 
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据 文件 的 属性 ,恢复 .解密 文件 ,查找 .分析 可 能 的 记录 信息 ,包括 各 种 日 志 \ 历 史记 录 、 绥 人 存 、 
缩 略 图 等 。 历 史记 录 不 仅仅 是 指 操作 系统 记录 的 最 近 使 用 记录 ,还 有 编辑 .播放 、 传 送 、 刻 
录 、 处 理 等 软件 的 最 近 使 用 记录 日志 文件. 杀毒 软件 日 志 记 录 、 挥 略图 等 。 文 本 文件 还 可 根 
据 文 件 内 容 中 有 代表 性 、 特 定 意 义 的 文字 全 面 搜索 。 电 子 数 据 存 在 性 取证 中 比较 难 的 是 删 
除 图 片 和 视频 文件 的 分 析 ,特别 是 视频 文件 ,文件 内 容 不 具有 关键 词 搜索 条 件 ,再 要 根据 文 
件 签名 文件 结构 特征 .日 志 记 录 等 信息 来 分 析 。 


10.1.5 电子 数据 存在 性 取证 案例 


随 看 手机 .数码 相机 .数码 摄像 机 等 设备 的 普 抽 使 用 ,视频 文件 作为 重要 的 电子 数据 ,在 
案件 侦查 中 的 作用 越 来 越 凸 显 , 在 许多 重 特大 案件 的 侦查 中 发 挥 了 关键 性 作用 。 

2009 年 8 月 12 日 , 李 X. 董 XX、 欧 XX 因 陈 X 的 丈夫 张 XX 人 下 巨额 财 俩 ,密谋 将 陈 
绑架 至 W 市 XX 区 XX 家 园 一 出 租 屋 内 ,采取 捉 绑 、 欧 打 等 方式 诱 通 张 XX 还债 , 因 陈 X 不 
配合 ,三 人 将 陈 X 杀 死 , 抛 尸 于 XX 运河 。2009 年 8 月 17 日 ,XX 分 局 XX 派出 所 将 三 名 嫌 
疑 人 抓获 。 此 案 经 XX 市 中 级 人 民法 院 一 审 后 ,2010 年 4 月 19 日 三 名 被 告 均 上 诉 至 XX 省 
高 级 人 民法 院 。XX 省 高 级 人 民法 院 刑事 审判 第 一 庭 在 审理 至 X、 董 XX、 欧 XX 绑 染 案 时 
发 现 被 告 人 供述 中 提 到 ,在 出 租 屋 内 ,被 告 人 在 殴打 被 捆绑 的 被 害 人 时 , 李 X 拍摄 了 录像 ， 
事后 录像 被 李 X 删除 。 该 录像 未 恢复 ,是 解决 争议 焦点 的 重要 电子 数据 。2010 年 9 月 1 
日 , 受 XX 省 高 级 人 民法 院 的 委托 ,对 删除 录像 文件 进行 恢复 。 

检 材 情况 : 数码 摄像 机 电池 没 电 , 不 能 启动 ,无 数据 线 。 数 码 摄 像 机 品牌 SANYO, 型 


号 : VPC-CG10 ,颜色 : 黑色 。 存储 卡 品牌 : Sandisk ,容量 : 8GB, 
电子 数据 的 取证 过 程 如 下 : 
1. 取证 准备 


受理 委托 时 ,应 首先 询问 .了 解 需要 恢复 的 视频 文件 丢失 的 原因 ,是 突然 断 电 、 删 除 、 高 
处 跌落 还 是 其 他 原因 ,检查 便 件 是 否 有 损坏 ,存储 介质 使 用 情况 ,视频 文件 是 否 已 被 覆 诗 。 
查看 摄像 设备 系统 日 期 ,了 解 摄 像 设 备 文 持 的 照片 .视频 文件 格式 ,查看 摄像 设备 中 设置 的 
文件 格式 .存储 位 置 等 信息 。 分 析 存 储 介 质 文 件 系统 ,确认 每 族 朵 区 数 , 查 看 存储 介质 中 现 
有 照片 .视频 的 文件 格式 ,存储 卡 中 文件 创建 日 期 。 目前 ,大 多 数 存 储 卡 文件 系统 都 是 
FAT32 ,少数 是 FAT16。 照 片 格式 主要 是 JPG, 视 频 文 件 格式 有 MP4、AVI、JPG.、3GP、 
MOYV 等 。 

从 案 发 到 被 抓获 的 时 间 比 较 短 ,存储 卡 中 有 大 量 未 使 用 过 的 空闲 空间 (00 字 节 ), 据 此 
分 析 ,如 果 有 被 删除 的 视频 文件 ,被 覆盖 的 可 能 性 比较 小 。 

查找 三 洋 VPC-CG10 型 摄像 机 功能 参数 .存储 性 能 ,说 明 书 及 其 他 相关 信息 ,其 照 厂 文 
件 格式 为 JPEGCDCF,DPOF ,Exif Ver2. 2) ,视频 文件 格式 为 ISO 标准 MPEG-4 AVC/H. 264 
(. MP4) ,摄像 机 内 置 40MB 存储 容量 。 

经 对 存储 卡 分 析 ,其 实际 存储 容量 为 7825MB( 标 称 8GB) ,采用 FAT32 存储 结构 ,每 簇 
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64 局 区 。 存 储 卡 中 有 两 张 数码 照片 (JPG 格式 ) 和 一 段 视频 (MP4 格式 ), 视 频 大 小 为 
1.59MB ,播放 时 间 非 常 短 ,大 概 1 秒 , 没 有 图 像 , 只 有 咬 叶 的 电流 声 。 照 片 和 视频 与 案件 无 
明显 关联 ,照片 和 视频 的 创建 日 期 分 别 为 2008 年 4 月 和 2008 年 9 月 ,根据 画面 内 容 推测 可 
能 是 购买 摄像 机 时 在 商场 试 拍 留 下 来 的 。 用 工具 软件 查看 存储 卡 文件 分 配 表 (FAT) ,在 文 
件 分 配 表 中 只 有 未 删除 的 两 张 照片 和 一 个 视频 的 数据 ,其 他 字 节 均 为 00, 如 图 10.1 所 示 。 


FAT 囊 0 1 | 2 3 | 5 |e T 3 9 A | lic 1 E F A 
0 ‘End> ‘Endy ‘Endy ‘Endy ‘Fnd>y 6 平 8 36 0 b 39 0 e f 10 
10 11 le 13 14 15 1 17 18 19 1 lb le ld 1 if 0 
20 21 22 23 24 25 26 2T 26 2 和 2 2b 20 pa | 之 2f 30 
35 a b 3e 3 3 0 3 

40 41 42 43 4 45 46 47 48 号 日 生 4b 4c | 4 业主 50 
50 51 52 53 54 55 Se 57 58 59 5a Sb Se Sd 5 Eh3 80 
ED Bl B2 63 Bd ES 66 BT 68 E9 Ba Eb Be Bd Bi BE TO 
70 T1 72 73 T4 《End> 7 77 TB 79 T Th Te Td Te TE 30 /mh 
80 31 82 83 84 85 86 87 58 89 8 sb Be 8d 8 8£ 0 
a0 91 92 93 9d 95 96 97 98 99 9 gb ge 9d 9 af 加 
a 1 a a3 El a5 Ea aT Ea | ab EY | 五 企 tb 
boO bl be b3 bd bs be bb 了 ba ba b bb be bd b bf D0 

0 1 3 cl ce9 所 了 8 日 eb | ce 下 “End» 
0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 

0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 


10.1 存储 卡 文件 分 配 表 


2. 用 专业 数据 恢复 软件 恢复 

在 没有 被 履 盖 , 非 硬 件 损坏 情况 下 ,首先 想到 的 最 简单 的 方法 就 是 用 专业 数据 恢复 软件 
恢复 数据 。 根 据 初 步 查 看 分 析 的 结果 以 及 数据 “丢失 ”的 原因 ,可 以 选择 合适 的 数据 恢复 软 
件 及 恰当 的 参数 (模式 ) 进 行 数 据 恢复 。EasyRecovery、FinalData、R _Studio、WinHex 等 专 
业 数 据 恢 复 软件 功能 都 很 强大 ,各 有 特点 ,支持 不 同 的 方案 ,恢复 不 同 的 文件 类 型 ,日 人 机 交 
互 差异 很 大 。 可 以 分 别 使 用 它们 对 存储 卡 进行 恢复 ,查看 比 对 结果 。 如 果 无 法 恢复 文件 或 
恢复 的 文件 无 法 正 篆 播 放 , 则 考虑 进一步 手工 恢复 。 

用 多 款 数据 恢复 工具 软件 对 备份 存储 卡 ( 原 存储 卡 的 复制 卡 ) 进 行 扫 措 搜索 ,多 次 恢 
复 。 其 中 一 款 数据 恢复 软件 发 现 3 个 MOV 视频 文件 ,恢复 后 ,用 相应 播放 器 均 无 法 播放 ， 
显示 文件 格式 有 错 , 用 MP4 播放 器 也 无 法 播放 。 其 他 数据 恢复 软件 均 未 发 现 有 被 删除 的 视 
频 、 图 片 文件 。 

3. 根据 文件 签名 恢复 

由 于 专业 数据 恢复 软件 受 预 设 程序 和 版 本 限制 ,因此 在 使 用 专业 数据 恢复 软件 无 法 发 
现 视频 文件 或 者 恢复 的 视频 文件 不 能 正常 播放 的 情况 下 ,必须 进行 手工 恢复 。 

MP4、 AVI.MPEGCmpg) 等 视频 文件 都 使 用 文件 签名 。MP4 文件 签名 : 6D7034, AVI 
文件 签名 : 41564920, MPEG(mpg) 文 件 签名 : 000001BA 或 000001B3。 根 据 视 频 文件 的 文 
件 签名 ,用 WinHex、EnCase 等 工具 软件 在 存储 卡 中 搜索 文件 签名 ,找到 匹配 文件 签名 的 位 
置 ,匹配 位 置 可 能 就 是 视频 文件 头 。 假 设 文件 内 数据 和 文件 之 间 的 数据 均 连 续 存 放 , 则 从 匹 
配 的 第 一 位 置 开始 ,到 下 一 个 匹配 位 置 之 前 ,顺序 提取 数据 ( 簇 ) 保 存 为 相应 的 视频 文件 。 在 
大 多 数 情况 下 ,由 于 存储 卡 容 量 小 (与 计算 机 硬盘 相 比 ), 手 机、 数码 相机 、 数 码 摄像 机 等 系统 
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的 数据 存储 处 理 功能 相对 简单 ,一 般 都 采用 相对 简单 的 连续 存储 模式 。 如 果 恢 复 的 视频 文 
件 不 能 正 篆 播 放 , 则 文件 可 能 不 是 连续 存储 ,或 者 匹配 位 置 不 是 真正 的 视频 文件 头 , 需 要 进 
一 步 实验 分 析 视 频 文 件 内 数据 块 ( 禾 ) 存 储 规律 和 文件 结构 特征 信息 。 

MP4 文件 签名 “0x6D7034”, 用 文件 签名 作为 关键 词 ,用 取证 工具 全 面 搜索 存储 卡 , 发 
现 有 另外 3 处 匹配 MP4 文件 签名 ,分 析 可 能 是 删除 的 视频 文件 头 。 假 设 文件 内 数据 和 文件 
之 间 数 据 均 连 续 存 放 ,通过 对 前 2 处 MP4 文件 数据 块 ( 簇 ) 顺 序 提取 ,保存 为 MP4 文件 ,发 
现 这 两 个 文件 均 不 能 播放 。 

4. 根据 文件 存储 规律 恢复 

购买 新 存储 卡 装 人 送 检 摄 像 设 备 中 ,不 改变 原来 的 设置 ,拍摄 多 个 不 同 长 度 视 频 文 件 ， 
对 新 存储 卡 中 的 文件 分 配 表 进 行 分 析 , 找 出 文件 内 数据 块 ( 族 ) 之 则 的 存储 规律 。 

由 于 文件 之 间 是 连续 存储 ,后 一 个 文件 起 始 位 置 的 前 一 族 就 是 前 一 个 文件 的 结束 位 置 ， 
因此 文件 之 间 容 易 确 定 起 始 和 结束 位 置 。 根 据 分 析出 来 的 存储 规律 ,分 别提 取 原 存储 卡 中 
不 同位 置 的 数据 块 ( 徐 ) , 按 规律 拼接 保存 成 视频 文件 ,用 相应 播放 器 播放 ,检查 分 析 文 件 是 
否 正 确 。 

由 于 最 后 一 个 视频 文件 无 法 确定 其 结束 位 置 ,如果 按 文件 存储 规律 恢复 的 文件 能 正常 
播放 ,还 是 需要 恢复 最 后 一 个 视频 文件 。 进 一 步 分 析 视 频 文件 结构 特征 ,根据 结构 特征 恢复 
文件 。 

(1) 原 存 储 卡 中 视频 文件 的 FAT 表 中 的 存储 数据 为 5,6,7,8,38,a,b,39,d,e,f,10,…,37 
( 禾 ,十 六 进 制 )。 存 储 位置 不 连续 ,出 现 了 2 次 跳 转 ,规律 为 : 前 4 徐 , 跳 1 秘 ,2 徐 , 跳 1 簇 ， 
依次 剩余 簇 ( 称 为 : 规律 一 )。 

(2) 实验 存储 卡 中 第 一 个 视频 文件 的 FAT 表 中 的 存储 数据 为 4,5,6,7,1d0,9,a,1dl， 
1d2,c,d,…,1lcf( 禾 ,十 六 进 制 )。 存 储 位置 不 连续 ,出 现 了 2 次 跳 转 ,分 析 其 余 3 个 视频 文 
件 ,得 到 相同 的 规律 : 前 4 簇 , 跳 1 禾 ,2 艇 , 跳 2 复 ,依次 剩余 族 ( 称 为 : 规律 二 )。 

用 上 述 2 种 不 同 的 存储 规律 分 别 对 备份 存储 卡 中 的 视频 文件 进行 恢复 ,结果 用 规律 二 
恢复 的 前 2 个 MP4 视频 文件 均 能 正常 播放 , 且 画 面 .场景 明显 与 案件 相关 ,有 嫌疑 人 殴打 、 
猥 识 被害 人 夯 面 。 前 2 个 视频 文件 存储 规律 找 出 来 , 按 规律 已 经 正确 恢复 文件 ,而 第 三 
个 ( 即 最 后 一 个 ) 视 频 文件 无 法 通过 这 种 方式 确定 结束 位 置 ,下 一 步 根据 文件 结构 特征 
恢复 。 

5. 根据 文件 结构 特征 进一步 恢复 

三 家 在 开发 一 种 视频 文件 格式 时 ,对 文件 中 存储 视频 .音频 信息 的 位 置 ,编码 .解码 算 
法 ,系统 信息 等 都 进行 了 定义 ,也 就 是 说 不 同 的 视频 文件 具有 不 同 的 结构 特征 。 在 可 能 存储 
视频 文件 的 效 据 区 搜索 查找、 分 析 可 能 的 结构 特征 ,根据 找到 的 特征 信息 , 按 文件 内 部 特征 
规律 拼接 找到 的 数据 块 ( 复 ) ,保存 成 视频 文件 。 在 结构 特征 ,组合 拼接 正确 的 情况 下 ,恢复 
的 视频 文件 一 般 部 能 正常 播放 。 

为 了 满足 视频 信息 存储 的 不 同 需 求 ,不同 厂 家 开发 了 不 同 的 视频 文件 格式 ,视频 文件 格 
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式 类 型 较 多 ,不 同 版 本 差别 也 很 大 ,格式 结构 复杂 。 通 过 文件 格式 结构 来 恢复 视频 文件 花费 
时 间 长 .效率 低 ,一般 只 有 在 其 他 方法 都 不 行 的 情况 下 才 采 用 。 

MP4 是 一 种 常见 的 多 媒体 容器 格式 ,由 奇 干 个 “box” 组 成 ,大 的 box 中 存放 小 的 box， 
可 以 一 级 艇 套 一 级 来 存放 媒体 信息 。box 的 基本 结构 如 图 10. 2 所 示 , 其 中 ,size 指明 了 整 
个 box 所 占用 的 大 小 ,包括 header 部 分 。 


boxheader 


nt UN ve 
UINT64 largesize ~ |Gfsize==1) 


图 10.2 MP4 的 基本 结构 


如 果 box 很 大 (例如 存放 具体 视频 数据 的 mdat box) ,超过 了 uint32 的 最 大 数值 ,size 
就 被 设置 为 1, 并 用 接 下 来 的 8 位 uint64 来 存放 大 小 。 一 个 MP4 文件 有 可 能 包含 非常 多 的 
box ,如 表 10. 1 所 示 ,一 般 部 含有 ftyp、moov、mdat,free 等 box, 每 个 box 有 对 应 的 大 小 、 类 
型 ,第 一 个 box 总 是 ftype, 最 重要 的 是 mdat, 视 频 内 容 在 此 box, 其 数据 关系 在 moov ,free 
是 空闲 ,用 于 填补 数据 。 从 MP4 视频 文件 的 头 部 开始 ,依次 检查 各 box 的 类 型 和 大 小 ,根据 
mdat 和 其 后 的 free 的 长 度 ,可 以 求 出 文件 的 实际 长 度 。 


表 10.1 MP4 文件 结构 


结 训 


00a71000 


根据 MP4 文件 结构 特征 ,不同 box 类 型 的 偶 离 (offset) ,从 备份 存储 卡 中 逐 项 查找 不 同 
类 型 的 box, 取 出 对 应 的 数据 块 ( 徐 ) 拼 接 . 恢 复出 最 后 一 个 被 删除 的 视频 文件 ,大 小 为 
7.5MB, 内 容 与 案件 明显 相关 。 根 据 文 件 结构 特征 ,再 对 之 前 恢复 的 2 个 视频 文件 进行 检 
碍 ,发现 之 前 恢复 的 数据 完全 正确 。 

6. 总 结 

此 案例 中 ,用 到 了 文件 系统 (FAT32、FAT16、NTFS) ,存储 结构 ( 扇 区 、 簇 ), 文 件 结构 
(文件 签名 ,文件 结束 标识 ) 等 计算 机 专业 基础 知识 ,可 见 计算 机 底层 技术 知识 很 重要 。 
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10.2 电子 数据 同一 性 取证 


互联 网 经 济 的 快速 发 展 ,使 得 网 络 盗 版 和 侵权 犯罪 行为 大 量 出 现 。 打 击 电 了 于 数据 的 瓷 
版 和 侵权 ,同一 性 的 判断 是 自 要 问题 。 


10.2.1 电子 数据 同一 性 取证 定义 


电子 数据 同一 性 的 取证 是 针对 电子 文档 、 网 站 软件 系统 等 各 类 电子 数据 取证 ,对 样本 
和 目标 是 否 一 致 进行 分 析 和 判断 。 


10.2.2 电子 数据 同一 性 取证 


电子 数据 同一 性 取证 主要 有 以 下 方法 : 

。 GB/T 29361 一 2012 电子 物证 文件 一 致 性 检验 规程 ; 

。 GA/T 829 一 2009 电子 物证 软件 一 致 性 检验 技术 规范 ; 
。 GA/T 978 一 2012 网 络 游戏 私服 检验 技术 方法 ; 

。 GA/T 1171 一 2014 忌 片 相似 性 比 对 检验 方法 ; 

* GA/T 1175 一 2014 软件 相似 性 检验 技术 方法 。 


10.2.3 电子 数据 同一 性 取证 针对 的 案件 类 型 
电子 数据 同一 性 取证 针对 的 案件 类 型 有 : 网 络 侵 权 、 网 络 盗版 .窃取 商业 机 密 等 。 
10.2.4 电子 数据 同一 性 取证 的 思路 


对 于 一 些 通 过 非法 复制 或 复制 后 更 改 参 数 设 置 、 更 改 图 标 等 方式 修改 电子 数据 的 行为 ， 
可 以 通过 对 文件 的 名 称 、 属 性 .内 容 `.MD5 值 、 功 能 界面 等 逐一 对 比分 析 , 完 成 对 同一 性 的 分 
析 鉴 定 。 但 是 在 一 些 较为 复兴 的 案例 中 ,侵权 痢 会 对 程序 源 代码 进行 修改 后 重新 编 详 得 到 
目 己 的 版 本 ,这 样 得 到 的 程序 文件 在 界面 甚至 功能 上 与 原版 都 可 能 会 有 很 大 的 改动 , 隐 牙 性 
较 踢 ,在 同一 性 的 分 析 与 鉴定 中 很 容易 导致 错误 绪论 。 这 种 情况 下 ,就 需要 通过 程序 反 编 详 
至 源 代码 对 比 、 数 据 库 结构 对 比 、 程 序 操作 行为 方式 对 比 等 进行 分 析 鉴 定 。 


10.2.5 电子 数据 同一 性 取证 案例 


1. 案例 背景 

某 数 码 科 技 有 限 公 司 涉嫌 侵犯 着 作 权 , 需 分 析 鉴 定 送 检 “1. rar” 文 件 中 的 游戏 服务 端 程 
序 与 送 检 “2. rar” 文 件 中 的 游戏 服务 端 程序 是 否 具 有 同一 性 。 

2. 取证 过 程 

游戏 服务 器 程序 的 运行 涉及 程序 运行 .数据库 结构 参数 配 置 等 方面 ,因此 ,该 案例 的 分 
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析 鉴 定 具 体 可 以 从 服务 端 文 件 夹 结构 ,程序 文件 .核心 可 执行 文件 的 文件 、 核 心动 态 链接 库 
文件 ,数据库 .配置 文件 等 进行 逐 项 比 对 。 
3. 分 析 过 程 
将 压缩 文件 "1. rar” (以 下 商 称 17) 服务 病程 序 及 服务 吴 对 应 的 数据 库 与 送 检 
“2.rar"( 以 下 侧 称 22) 的 服务 疹 、 数据 库 进 行 比 对 。 
(1) 文件 夹 结构 比 对 
经 检查 ,“1” 和 “2” 的 服务 端 程序 包含 的 文件 夹 结构 如 图 10. 3 所 示 。 
EF gamesenver 
CD 口 呈 crimelog 
-DC 口 时 d_log 
-CC 口 丹 errorlog 
-CD gmlog 


9 ini 
I 晶 了 口号 Oem.dat 


玉 缩 文件 


日 CODD gameserver 日 :C 口 晤 Oem.ini 
-CC 口 时 crimelog CD 而 1L 
CD 啊 d_log -CD 咽 log 
CD 加 errorlog 日 -C 口 喝 map 

\ 由 -CcC 口 里 map . 日 C 口 喇 puzzle 
| cpg mop | | Lopg tw 
oOme 00 Soone 
| cpg by LoDg mysql Jog 
\ L CD 里 Scene -CC 口 如 playeronline 
| -口号 PuzzleSave ~ 口号 PuzzleSave 
| .Cc 口号 syslog -CC 口 里 syslog 


10.3 文件 夹 结 构 比 对 ( 左 “1”、 右 “2”) 


由 上 可 知 , 送 检 “2” 服 务 端 中 共有 11 个 文件 夹 , 送 检 “1” 服 务 问 中 共有 7 个 文件 夹 , 双 方 
共有 ?7 个 文件 夹 命 名 相同 。 以 上 文件 夹 数目 均 不 包括 用 于 存放 日 志文 件 的 文件 来。 系统 运 
行 过 程 中 产生 的 日 志文 件 .临时 文件 以 及 使 用 者 在 使 用 过 程 中 留 下 的 和 系统 无 天 的 文件 等 ， 
这 些 与 系统 的 相似 性 本 质 并 无 基 系 ,因此 不 列 人 比 对 范畴 。 

(2) 服务 端 文件 比 对 

“2 的 服务 端 文 件 夹 下 共有 738 个 文件 (不 包括 服务 痪 系统 产生 日 志文 件 )，“12 的 服务 
美文 件 夹 下 共有 918 个 文件 (不 包括 服务 端 系 统 产 生日 志文 件 )。 双 方 服务 端 中 文件 名 相同 
且 文 件 路 径 也 相同 的 文件 共有 736 个 ,对 这 两 个 服务 病 下 的 文件 分 别 进 行 MD5 值 计算 ,对 
文件 名 相同 且 路 径 也 相同 的 文件 进行 MD5 值 比 较 , 其 中 ,文件 名 相同 、 文 件 所 在 路 径 及 文 
件 MD5 值 也 相同 的 文件 有 695 个 。 部 分 比 对 结果 如 图 10.4 所 示 ( 其 中 ,右边 为 “27 的 文件 ， 
左边 为 “1” 的 文件 , 纯 日 痛 景 色 的 为 双方 文件 名 相同 且 文 件 MD5 值 也 相同 ,其 他 颜色 的 为 
文件 名 或 文件 所 在 路 径 或 文件 MD5 值 不 相同 )。 

(3) 核心 可 执行 文件 比 对 

经 检查 ,“2” 共 有 2 个 可 执行 文件 ,分 别 为 “MsgServer Release 2. 3709. exe”、 
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站 于 语文 件 1 txt 1 目 匡 语文 件 z. txt 
El ark00s ,scene 97A25ES513864E352A83FT7045E03C5211 ameaer wv :: 王后 ark00S ,acene 97A2S5ES13864E352A83FI7045E03C5211 贞 
229 arkiie. scene B772236FB09321D0C6E0349EASF63F553 game aerwE :: 9 arkb06. acene B172236FB09321DC6E0349EASF63F553 
30 ark00T .scene 2306607C6SFO6DSCBFSSB96958EBA2E1 gameaervi 上 | 30 arkD07 .acene 2306607C65FO06DOCBFS3BI6958EBA2E1 
391 arkE00d . scene 8B6EET ?BESEFSBO328B322752470E54CB meEgeEr ve i 31 BrkED00S .acene 8B6EE7TBB3FSB0328B322752470E54CB 
Ee ark009. scene COSI1T42F31DECAFOEA4CD12B236D070 Jameserwel | 中 32 ark009.acene COS591742F31D6CAF8E4C6D12B236D0070 
33 ark0l0 . scene 1é6BEB33DAESAM196821006270FFC302D game servE i 33 arkD010 .scene 16BEB33D0AESA2196821006270FFC302D 
EE ark0ll .scene 641D8D1EFD2BS32915F8BFTASSB62ETB2B Jame gerwe 直 4 ark0ll .acene 641D8D1IFD2BE2915F8BFIANISB6G2ETB2B 
35 ark0l2 .scene DA2hA42CEATTICF32AE2356EF8ATATONEC game gerve i 35 arkD0li2 .scene DAZ2AA42CEATICF32NE2356EFSATATOAGC 
弓 看 arkdl3. acene DDA241015D70BBSEDOSEESE06D43B1AT7 Jame aerwe | 3 ark0i3.acene DDA241015D070BBSEOS6ES606043B1SNhT 
a7 rkdld .scene DEODI237ED43336EDIAAFA407 TSO0CDI1AI game erv : 37 arkDi4. acene DEODI237EDAIA336EDTAAF4077S0CDIA3 
写生 西 工 攻 全 了 5 .scene 8B3BDGSEI1SAM21FBCTSBB3CO00ICS6FB4 Jame erwe | 38 ark0is5 .acene BB3BD6SFI1SA21FBCTSIAB3CO03CS6FB4 
39 BaseSupport.dll SCC4h10914E37FB494EE536RhD5RCRDOF4 gameaerve 上 :| 35 ENET 
4 bed00l .scene 41E3BCFGDS3B6SO0BBTTSSIB4089153E4 Jame erw 站 | 归 吕 bed00l .scene 417E3BCFDS3B6SOBBTTESIBA0089153E4 
时 1 bed002 .scene 325DF23CC13061894BA0REBTEBAIA2497 ame serv : 竹 卫 bed002 .scene 325DFE23CC13061894BAOBSBTHEA9AM2497 
Ee bed00s . Scene BEACEF637TATICTIDDESCO03SIC999F23DD ameaerv ;| 本 bedD03 .3cene BEACEFGS37TEICTIODNESCO03SIC999F230D 
Ee bed004 .scene TADF6G62A19A23F06CCROAASOD3TSS33D gume er : Ee bed004.scene TADFE62A19B23F06CCAROARASODSTSRIIR 
| bed00s. acene 35MC9A4DBEGSDOB26C61CO0ET21D799295 Jame erw 中 | 和 旦 44 bedD0s .cene 95AC940BESSDB26C61C0E7T21D0799295 
45 六 | 45 癌 
下 了 10 人 01 .要 它 多 所 疙 603B970B65B992083D0BC8ACC3B00B448 如 一 名 碟 晤 芭 工 全 : 量 7 BellU00l .Scene €03B970B65B9920830BC8ACC3BO00B448 
Ed belld02 .Tene SAA45DBSDS3DIFASS40 TAOOOSLIEFOFAMS2 嫩 剖 郧 志 名 全 工 生 人 了 EE belld02. scene S33A45DBSD3DIFA9I407A00081FOFAAS2 
时 加 bell003 .cene B8920E93BSFCC451ED39FSAM44BE486B839 杂 前 郧 志 晤 忆 工 入 : EE bell003.scene B920E9BSFCC451ED39FS5A44BE486BS39 
30 bell004 .stene 382E41BS9EB2AIDMBGCETFEd2S542BFODD 杂 剖 名 埠 可 他 工种 50 bell004. scene S62E41BS59EG2AlABGCOTFE32542BF0DD 
51 bell00s. seene F35FC391C62976C8BTICIC2EFB2ADS1AG06 晤 一 员 起 司 芭 : SL bellU0s. Scene EFS3SEFC391C62976C8 TCIC2EFB2ADS1AGO0G 
EF bell00e. seene BaBs47FABDCFECOO04AC 3CIFE TSD8AT me aervt 了 Ep bellU0e. scene B22Bs47FABDCFEBCOO0SAMCICIFE "293908A7 
53 二 butcher.DMap 636Ed34BaBA2 /ES849132393544B4F99 柯 二 8 本 革 工 VH 名 引 
此 me gerver nm 中 号 全 
EE candleholderO00l .scene 293ESCFS3FI2FCCSBEFBI884223E28DCC 《 了 | candl]eholder00l . scene 293ESCFES3FI2FCCSBEFB3884223E280DCC 
与 向 Candleholderd0a , scene FBO0IDEFTT742BT791COIECUOF4DTBIAS € :| 5 candleholder00s .scene 6FSBOSDFTT?T42BT791C69ECOF4D07B0A8 
57 券 | 57 游 
58 六 | 56 六 
59 c-Jround0l-a.scene #47FB36C136D4B0SDSEBIBTIFIBTO0G3AC2 可 BE 时 59 c-ground0l-a.scene 47FB36C136D4BO0SDAEBIB?TFTIBIO0G3NC2 
0 c-ground02-a.scene 383D5ABCF2AF6S98ECELTEFI3981FBS game: 上 | 60 c-—ground02-a.3cene 363D5A8BCE2AE6596ECE1L76F93981FB9 
61 c-ground03-b.scene F4959636A176891698C2BDBCSCCD3213 games i 政工 c—ground03-b.scene F4959636A1769891698C2BD0BCSCCDS215 
是 肥 万 -End04-b. scene SBrodGAF Gus D0cD AGECD GB Ed Ee: 站 LT CE—roUund0d-b. Scerne SBiIsdeaAEF i000GDsd0EdD 0B iE 
63 c-gro0und03-&.Scene 4361231CCl1BEDEBGLIECSF BANCAE DBEAEF me : 3 c—-ground0s-B. Scene 498l123]CClIBDEB6LIECSFABALIEF /DELSEF 
Dale 一 年 EQUnd06-. SCene C233460AT743770BOF25372435A35C00EF38 mE: :| 64 EG— 和 EOUnd06-a .5cene C2980AT493770BOF25372435A5C00FS8 
硬 S c-round0T-a.scene TILeFOCAT207051F12ACFF3AAM0BLIF403 ame: : 后 所 c-—ground0-a.scene TI1eFOC47207051FI2ACFF3AAO0BLF+03 
而 看 二 二 EDUnd08 -B.SCene 45E9BDAEG2SEAMGG1SE213190037EE40 Game: :| 5 Cc—roundoB-a. Scene 465E9BDAEG23EAGG1SE213130057FE40 
#7 -而 EOUNd09-b. cene 14220378ET70SB17O0D38FASCEBES3ESESI7 Game: :: 67 c-ground09-b. scene 14220378E705BLIO0D38FARCEBE3ESHES9T 


图 10.4 部 分 服务 端 文件 比 对 


‘NpcServer_Release_1. 3388. exe”;“1” 共 有 2 个 可 执行 文件 ,分 别 为 “msgl11588. exe”、 
“NPC1. exe”, 对 核心 可 执行 文件 进行 二 进 制 字 节 比 对 ,如 下 所 示 : 

QQ) “MsgServer_ Release 2. 3709. exe” 与 "Msgl1588. exe” 比 对 。 

经 检查 ,“MsgServer_Release_2. 3709. exe” 文 件 共 4378694 个 字 广 ,“Msg11588. exe” 文 
件 共 4683232 个 字 市 ,双方 共 3858180 个 字 节 相同 。 

“NpcServer Release 1. 3388. exe” 与 “NPCl1. exe” 比 对 。 

经 检查 ,“NpcServer Release 1. 3388. exe” 文 件 共 634880 个 衬 节 ,“NPC1. exe” 文 件 共 
902616 个 字 节 ,双方 共 629758 个 字 节 相同 。 

(4) 核心 动态 链接 库 比 对 

“2" 服 务 端 程序 共有 10 个 动态 链接 库 文 件 ，1" 共 有 9 个 动态 链接 库 文件 ,双方 文件 名 
相同 的 动态 链接 库 文 件 共 有 9 个 ,分别 为 :“BaseSupport. dll” “CRC. dllj”“DbgHelp. dl1”、 
“libmySQL. d”“、“MFC42D. DLL ” “MEFC042D. DLL” “Msvecp60. dll*、“ MSVCP60D. 
DLL”“MSVCRTD. DLL”。 通 过 对 这 9 个 文件 进行 md5 值 比 对 ,同文 件 名 的 文件 md5 值 

- 致 。 

(5) 数据 库 文件 比 对 

根据 “1” 中 “Gameserver” 文 件 夹 下 的 “shell. ini” 和 “config. ini” 文 件 可 知 ,该 游戏 的 数据 
库 名 称 为 "myl”, 如 图 10.5 所 示 。 
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司 shellini - 记事 本 
文件 (P) 编辑 (E) “格式 (D) ”查看 (V) 帮助 (H) 


; 外 过 配置 驻 件 
; 2002.10. 23 


[Systemj 
NAPGROUP_S1 eb 
ECUEPT_Ns = 500 


[StreamType]| 
TYEPE 


=0 :0= 正 常 从 SOCKET，1=SOCKET 记 录 到 文件 ，2= 从 文件 读 ( 程 序 调试 用 ) 


[Database] 
DB_IP 


=121.u.uU 1 
=test 
=test 
=rmryl 


=]21. 12.116. 236 
958 


录 表 尺寸 ，10-5000 
fi OTNTABL hsTZE=1500 
登录 表 超 时 种 数 ，0-86400 
LOGINOVERTINESECS=120 


[InternetPort] 
TER I 7.0.0.1 
653 


KO23k [cvE934 


Co [5 


中 IN IN 
Lo Le 
中 


CURRENT_ PORTID 


10.5 数据 库 配置 


将 “1” 的 数据 库 与 “2” 的 “my” 数 据 库 进 行 比 对 ，。 

经 检查 ,“2” 的 “my” 数 据 库 共 有 158 个 数据 库 表 ,“1” 的 “my1” 数 据 库 共 有 164 个 数据 库 
表 , 经 比 对 ,“2” 中 有 3 个 数据 库 表 在 “1” 中 不 存在 ,“1” 中 有 9 个 数据 库 表 在 “2” 中 不 存在 , 双 
方 数据 库 表 名 相同 的 共 155 个 ,其 中 ,数据 库 表 结 构 完 全 一 致 的 共 152 个 ,部 分 数据 库 比 对 
如 图 10.6、 图 10.7 所 示 ( 其 中 左边 为 *2” 的 数据 库 , 布 边 为 送 检 “1” 的 数据 库 , 黑 色 的 为 表 结 
构 完 全 一 致 ,红色 为 一 边 没 有 该 表 或 表 结 构 部 分 不 一 致 ) 。 

(6) 配置 文件 比 对 

ini 配置 文件 中 一 般 存 在 以 下 信息 : 配置 段 名 称 . 配 置 项 键 名 .配置 项 键 值 .注释 。 

其 中 ,配置 项 键 值 为 软件 系统 用 来 改变 配置 的 参数 ,作为 后 期 安装 配置 的 参数 ,不 包含 
在 软件 系统 封包 中 ,在 同 源 性 对 比 时 不 予 考虑 ; 注释 作为 方便 用 户 阅 读 的 附加 文字 ,在 同 源 
性 对 比 时 也 不 予 考虑 。 故 针对 ini 配置 文件 的 相似 度 对 比 , 仅 对 比 配置 段 名 称 以 及 配置 项 
键 名 。 

经 检查 ”1? 共 有 7 个 ini 配 置 文件 2? 共有 7 个 ini 配 置 文件 ,双方 文件 名 相同 且 路 径 
相同 的 文件 共 7 个 。 对 文件 名 相同 且 文 件 所 在 路 径 也 相同 的 文件 进行 配置 段 名 称 、. 配 置 项 
键 名 比较 ,对比 结束 如 图 10. 8 所 示 。 
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昌国 Tables 

国 : i lluserrank alluserrank 
4+- 国 ) cardbalance cardbalance 
“ 国 cardlastid cardlastid 
- 国 cq_acdtion col_action 
- 国 cq_ad_Iog co_ad lod 
i co_ad_dqueue co_ad_cueue 
- 国  cq_addresslist col_acldresSllst 
， i coq_advert_log co_acdvert_log 
有 3a Coq_advert_dqueue co_advert_dueue 
" i CA_aNNouNnce CH_aNnNnounce 
-图 cq_audtion co_auction 
" i Co auction syatem ttem Co_auction system item 
+- 国 cq_battle_limit_type cq_battle_limit_type 
- 转 cq_bonus col_bonus 
i Ca_bonus _ points type co_bonus points type 
- 国 cq_building cd_building 

i coq_buildingtype co_buildinotype 
= 本 Cal_ buUsiNness co_business 
3 i coq_calendar co_calendar 
四 时 cq_card co_card 
四 加 Cl_ Card co_carc 
由 转 cq_card3 co_card3 
中- 转 ) cq_castle co_Castle 
四 sa Co_castle_lew_red Co_Castle_lev_req 
由 - 国 cq_castletem co_castleitem 
图 村 co_castlemap co_castlemap 
申 - 转 ca_collect_ FU co_collect_rule 
外 ja co_conrtid co_contfig 
四 村 cd_config_copy 
国 - 转 co_control co_control 
四- 转 cq_controlcenter co_controlcenter 
由. 转 cq_counter co_Courter 
由 - 团 cq_deluser co_deluser 
四 . 国 cq_disdain co isdain 
四 : 村 co_disdain_copy 
时 枉 cA_donation_dynasort_rec cd_donation_dynasort_rFec 
由 转 cq_dropitemrule co_dropitemrule 
图: 33 cdo_dropitermrule_copy 
由 . i cdo_dup_name co_dhp_name 
田 - 国 cq_dyna_rank_rec cq_dyna_rank_rec 
四 i Co_dyna_rank_type co_dyna_rank _ type 
由 FE] cq_dynamap co_dynarmap 


a 配 画 导 SI 夯 | 


外 


围困 - 困 -…- 困 围困-… 因 - 


图 10.6 数据 库 表 比 对 


CREATE TABLE ‘alluserrank” 【下 REATE TABLE ‘allusercrank” |[ 
"ID inti4|l unsigned HOT HULL auto increment, ID inmt 4l unsignead HOT HULL auto increwment, 

| :sa Tablee | ” 和 吧 EEFEDUnE bigint 14) Unisigneda HOT WULL 强 才 下 而 “ 口 ， ”和 号 到 玉 记 GE EE HOT WULL 三 万 王 吾 it1 攻 “ 口 !， 
日 国 sueerant “sorETSDE. binyintkiz2) unsignea WOT WIL derfaualt ‘OD' "SarETSiE” binyinti2) unsigneda WOT NULL defatalt ‘0O', 

田间 Fieldls PRIMARY FEY (“10°) PRIMARY KEY :Ib'] 

图 Ee im ee ] EHGINE=MyYISAHN DEFAULT CHARSET=1atirnl:; ] ERNGINE=MyYISAHN DEFAULT CHARSET= larcirnl:; 

#9 Forsign 区 

| 图 Triggers 
了 是: 国 | cardbalance 
| 乓 . 国 cardiastid 
田力 | cq_aciion 
| 由 团 c9_ad 0g 
， 田 - 国 ) cq_ad_queus 
| 田 : 国 ) cq_addressisi 
| 四, 国 cq_acwert_og 
， 田 - 国 | cq_adver_opye. 
| 田 C9_announes 


图 10.7 表 结 构 比 对 
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4 和 


BE | | D E 
I 光 什 各 相同 配 商 项 数 自 “压痛 文件 二 配 间 项 数目 讨 问 文件 一 配 站 项 数 昌文 件 路 行 
2 IDebugzeupport. ini 1 1 1 ini ‘Debussupport. ini 
3 IGCamelap. 1ni 中 昌 生 9 B218 ini “Gamelap. ini 
4 IFCMSpy. ini 1 1 1 ini"PCOMSp. 1ni 
5 lconfie.ini 2 2 20 configs. 1ni 
6 liten,. ini 0 0 0 itenm. 1ni 
7 money. ini 0 0 0 noney. ini 
8 lshell. ini 19 19 19 shell. ini 
9 | 配 首 项 统计 5525 5525 B259 
图 10.8 配置 文件 比 对 
4. 结论 


以 上 对 “1. rar 的 许 戏 服务 端 与 "2. rar ”中 的 洲 戏 服务 端 共 进行 了 6 个 方面 的 比 对 (如 
表 10. 2 所 示 ): 中 服务 端 文件 夹 结构 比 对 ; 四 程序 文件 比 对 ; 加 核心 可 执行 文件 的 文件 比 
对 ; 由 核心 动态 链接 库 文 件 比 对 ; 包 数 据 库 比 对 ; 配置 文件 比 对 。 具 体 比 对 结果 如 下 (以 
下 所 有 比 对 的 比例 计算 以 送 检 “2” 中 的 程序 文件 为 基准 ): 


比 对 项 目 比 对 内 容 


Pp Sy 7 个 相同 (不 包括 用 于 存放 日 志文 件 | ，,,， 
文件 结构 比 对 | 文件 夹 目录 缩 构 | 的 文件 赤 ) 63. 63% 


736 个 文件 的 文件 名 相同 有 旦 文件 所 |99.72% 文 件 名 相同 且 文 件 所 
程序 文件 比 对 | 服务 端 文件 比 对 在 路 径 相 同 ,其 中 ,695 个 文件 内 容 | 在 路 径 相同 ,其 中 ,94.17% 文 

完全 相同 件 内 容 完 全 相同 

“MsgServer_ Release_2. 3709. exe” 

与 ”Msg11588. exe” 比 对 ,双方 共 |88.11% 字 市 相同 
核心 可 执行 文 | 文件 二 进 制 内 容 |3858180 个 字 节 相同 
件 比 对 比 对 “NpcServer Release 1. 3388. exe” 与 

“NPC1. exe” 比 对 ,双方 共 629758 个 | 99. 19% 字 节 相 同 

字 节 相同 


9 个 文件 的 文件 名 ,文件 内 容 相 同 ”|90% 相 同 


表 10.2 比 对 项 列表 


相同 比例 


核心 动态 链接 | 文件 名 、 文 件 内 容 


库 文件 比 对 
z / ee 98. 10% 数 据 库 名 相同 ,其 中 ， 
| 数据 库 表 名 相同 的 共 155 个 ,其 中 ， ee ey 
数据 库 比 对 “| 数据 库 表 比 对 数据 库 表 结 构 完全 一 致 的 共 152 个 0 


7 个 配置 文件 的 文件 名 相同 且 文 件 |100% 文 件 名 相同 且 文 件 所 在 
所 在 路 径 相 同 ,其 中 共有 5525 个 配 | 路径 相 同 ,100% 文 件 配 置 段 
置 段 名 称 、 配 置 项 键 名 相同 名 称 、 配 置 项 键 名 相同 


核心 配置 文件 | 文件 名 .文件 内 容 
比 对 


“1. rar” 的 游戏 服务 喘 程序 与 “2. rar” 的 洲 戏 服务 病程 序 结构 一 致 ,内 容 相 似 , 具 有 同 
-性 。 
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10.3 电子 数据 行为 性 取证 


在 网 络 违法 犯罪 案件 的 侦办 和 诉讼 过 程 中 ,嫌疑 人 实施 了 哪些 具体 行为 ,实施 的 程度 及 
其 造成 的 后 果 可 能 成 为 下 接 影响 “ 罪 或 非 罪 ”认定 的 关键 要 系 , 因 此 ,电子 数据 行为 性 取证 在 


10.3.1 电子 数据 行为 性 取证 定义 


电子 数据 行为 性 取证 是 指 ,通过 计算 机 、 网 络 运 行 过程 中 产生 的 行为 痕迹 和 记录 内 容 来 
证 明 与 案件 相关 的 行为 事实 。 
10.3.2 电子 数据 行为 性 取证 的 方法 

由 于 电子 数据 行为 性 涉及 范围 广 , 取 证 的 方法 也 根据 实际 情况 进行 调整 ,可 以 应 用 但 不 
限于 以 下 方法 : 

。* GB/T 29360 一 2012 电子 物证 数据 恢复 检验 规程 ; 

。 GB/T 29361 一 2012 电子 物证 文件 一 致 性 检验 规程 ; 

。 GB/T 29362 一 2012 电子 物证 数据 搜索 检验 规程 ; 

。 GA/T 756 一 2008 数字 化 设备 证 据 数 据 发 现 提 取 固 定 方法 ; 

。 GA/T 1069 一 2013 法 硅 科 学 电子 物证 手机 检验 技术 规范 ; 

。 GA/T 1070 一 2013 法 庭 科 学 计算 机 开关 机 时 间 检 验 技术 规范 ; 

。 GA/T 1071 一 2013 法 庭 科学 电子 物证 Windows 操作 系统 日 志 检 验 技术 规范 ; 

。 GA/T 1170 一 2014 移动 终端 取证 检验 方法 ; 

。*。 GA/T 1172 一 2014 电子 邮件 检验 技术 方法 ; 

。 GA/T 1173 一 2014 即时 通讯 记录 检验 技术 方法 ; 

。 GA/T 1176 一 2014 网 页 浏览 姻 历 史记 录 数 据 检验 技术 方法 。 


10.3.3 电子 数据 行为 性 取证 针对 的 案件 类 型 


电子 数据 行为 性 取证 主要 应 用 于 非法 侵入 计算 机 信息 系统 罪 .破坏 计算 机 信息 系统 罪 
和 利用 计算 机 实施 金融 诈骗 .盗窃 、 贪 污 .挪用 公款 、 窃 取 国 家 秘密 或 者 其 他 犯罪 。 
10.3.4 电子 数据 行为 性 取证 的 思路 

该 类 取证 主要 关注 三 方面 的 内 容 : 时 间 、 行 为 和 结果 。 按 照 操 作 行 为 的 结果 和 目的 可 
将 电子 数据 的 行为 性 分 析 鉴定 对 象 分 为 以 下 几 种 ; 

(1) 对 电子 数据 的 持 有 类 行为 。 主 要 分 析 判 断 计算 机 存储 设备 上 是 否 存储 有 非法 、 韦 
规 或 与 案件 相关 的 电子 数据 ,包括 电子 文档 、 图 片 文件 .音频 文件 .视频 文件 及 可 执行 文件 
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等 ,需要 注意 对 已 删除 文件 的 恢复 和 提取 。 例 如 : 法 轮 功 类 淫秽 色情 类 案件 中 ,对 电子 数 
据 的 持 有 类 行为 分 析 较 为 稼 见 。 

(2) 对 系统 及 网 络 资源 的 访问 行为 。 中 对 系统 的 访问 : 开机 、 对 操作 系统 的 登录 以 及 
对 网 络 的 访问 都 会 在 注册 表 中 留 下 痕迹 。 四 对 文件 的 访问 和 操作 : 主要 表现 为 对 文件 的 新 
建 、 编 辑 和 删除 。 文 件 的 新 建 信息 可 以 通过 文件 的 系列 属性 得 以 体现 ; 文件 的 编辑 行为 可 
通过 过 程 中 系统 生成 的 系列 临时 文件 进行 分 析 ; 文件 的 删除 行为 需 信 助 专门 的 数据 恢复 工 
具 进 行 分 析 。 玉 外 ,文档 的 打印 也 是 很 有 分 析 价 值 的 一 项 行为 。 加 对 程序 的 安放 和 使 用 : 
分 析 用 户 是 否 在 系统 中 安装 、 使 用 过 特定 程序 。 计 算 机 程序 的 安装 一 般 都 会 在 控制 面板 或 
注册 表 中 留 下 猴 迹 信息 ,即使 在 鼻 载 后 ,部 分 数据 信息 也 不 会 被 完全 删除 ,如 条 依 助 数据 恢 
复 更 是 可 以 获取 更 多 的 相关 信息 。 对 程序 的 使 用 可 以 借助 对 日 志文 件 的 提取 或 恢复 进行 分 
析 和 判断 。 例 如 : 对 QQ 等 软件 的 使 用 行为 进行 分 析 , 对 于 确定 嫌疑 人 的 虚实 身份 对 应 以 
配合 后 续 案 件 侦 办 和 证 据 文 撑 具 有 重要 作用 。 

(3) 与 外 设 的 交互 和 使 用 行为 。 可 分 析 用 户 是 否 曾 接 人 过 USB 移动 存储 设备 、 光 盘 、 
打印 机 等 外 设 的 情况 ,外 设 的 接 人 和 使 用 都 会 在 相关 系统 文件 及 注册 表 中 留 下 信息 。 对 U 
盘 等 外 设 的 接 入 情况 进行 分 析 , 可 与 现场 勘查 工作 互 为 配合 。 


10.3.5 电子 数据 行为 性 取证 案例 


1. 案例 背景 

2012 年 7 月 19 日 , 某 中 学 应 届 毕 业 生 张 菜 某 在 填报 志愿 时 因 个 人 信息 被 泄露 ,在 其 不 
到 情 的 情况 下 被 人 修改 了 登录 局 考 志愿 填报 系统 的 初 娘 密 人 码 , 人 致使 其 无 法 登录 填报 高 考 志 
愿 ,7 月 28 日 张 菜 某 发 现 日 己 被 山东 协和 和 学院 录 取 , 导 人 致 其 无 法 髓 填报 高 考 志 愿 。 经 查 , 系 
团伙 作案 ,嫌疑 人 中 一 人 凶 责 网 上 收集 大 量 考生 资料 信息 ,后 倒卖 给 另 一 嫌疑 人 ,其 希 责 师 
选 考 生 资 料 用 以 冒 用 号 份 填报 高 考 志愿 。 

需要 对 送 检 的 人 台式 机 主机 硬盘 、 笔 记 本 硬盘 进行 分 析 鉴 定 ,确定 嫌疑 人 实施 收集 和 传输 
考生 资料 信息 的 行为 。 

送 检 材料 : 1 号 : WD 320G 台式 机 硬盘 一 块 ; 


2 与 ;: WD 500G 笔记 本 便 盘 一 块 ; 
3 号 ，WD 40G 台式 机 人 硬盘 一 块 。 


此 案例 需 对 嫌疑 人 使 用 计算 机 实施 相关 犯罪 的 行为 进行 重 现 ,主要 包括 几 方 面 的 行为 : 
中 是 否 持 有 涉及 大 量 考 生 资 料 信 息 的 文件 ; 四 是 否 安装 和 使 用 了 实施 收集 考生 资料 信息 行 
为 的 软件 ; 鲜 是 否 安 装 和 使 用 了 实施 传输 考生 资料 信息 行为 的 软件 ,必要 时 需要 进行 数据 
恢复 。 

2. 分 析 过 程 

1) 持 有 涉及 大 量 考生 资料 信息 的 文件 情况 : 

(1) 在 2 号 便 盘 FF 盘 中 存 有 文件 ”#all- 备 份 . mdb” 文 件 ,内 容 为 济南 市 高 考 考生 ,截图 
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如 图 10. 9 所 示 。 


二 
= 下 


| xh : 。 -> - -| zilr +| zihn :| 
况 1984 年 0? 月 3 37010419840| 2 

1990 年 11 月 2 37012319901 | 21 

1986 年 07 月 2 37011219860 2 


1004 010302398 | 有 
1005 010205364 
1006 D010302400 | 李 
1986 年 DB 月 1 37131219860 3 
1936 年 10 月 or 37052219861 2| 川 本 
153d4 年 0 月 的 37010319840 2 串 国 


1007 010205387 |) 
10D8 D1001EBd 

L009 010205371 _| 物 崖 里 
10l0 O10203Te 

1011 O10302402 

1012 10205375 | 这 虞 ， 
nl3010205378 

10l# O10S02405 至 


1999 年 03 月 2 37142519890| 2 
1999 年 07 月 11 37012519890 21 
1997 年 时 月 37010519870 2 
1599 年 03 月 i 3713251 9890 2 
198B 年 0B 月 2: 37112119880 21 Md 


LDL L 加 四 
属 站 对 对 对 寻 对 对 寻 导 时 


图 10.9 内 容 为 济南 市 高 考 考 生 资 料 的 文件 截图 


(2) 经 过 数据 恢复 ,在 1 号 人 硬盘 下 如 根 目 录 中 恢复 出 文件 夹 “ 高 考 采 集 信息 ”, 该 文件 夹 
内 有 三 个 子 文件 夹 :“36- 高 考 ”“38- 高 考 3”“39- 高 考 4”, 每 个 文件 夹 内 有 “. mdb” 格 式 文 
件 “SpiderResult. mdb”, 内 容 分 别 为 2012 年 夏季 高 考 山 东 省 多 地 市 的 考生 信息 资料 ,已 恢 
复 的 删除 文件 截图 如 图 10. 10 所 示 。 
国共 高 考 采 集 信息 
国 里 36- 高 考 


党 38- 高 考 3 
圆 区 39- 高 考 4 


| 出 公司 文件 
基 国内 域名 注册 资料 


10. 10 恢复 删除 文件 截图 
已 删除 的 三 个 文件 夹 创建 时 间 为 2012 年 5 月 9 日 ,截图 如 图 10.11 所 示 。 


Laontents A 

Name Size Created Modified Accessed 
疼 ，36- 高 考 0 Bytes a012/35/9 ,. 20]2/6/1... 2012/6/1... 
互 38- 高 考 3 0 Bytes 2012/5/9 ,.. 20]2/6/]... 2012/6/1... 
监 ”39- 局 考 4 0 Bytes a012/5/9 .. a012/6/1... 2012/6/1... 


10.11 已 删除 文件 夹 信 息 截 图 


其 中 “ 融 考 采集 信息 ”文件 夹 内 数据 部 分 内 容 截 图 如 图 10. 12 所 示 。 

(3) 经 过 数据 恢复 ,在 3 号 硬盘 DD 盘 的 “Dd10” 文 件 夹 内 找到 “滨州 . xls” 文 件 ,内 容 为 
2012 年 夏季 高 考 深 州 考生 质料 信息 ,内 容 如 图 10. 13 所 示 。 

2) 安 交 和 使 用 实施 收集 考生 资料 信息 行为 的 软件 情况 : 

(1) 在 送 检 的 1 号 硬盘 “DD 盘 \software” 文 件 夹 中 发 现 “ 火 车 采集 器 ”软件 ,该 软件 创建 
日 期 为 : 2011 年 7 月 11 日 。 该 软件 经 编程 设 定 后 能 够 从 指定 网 站 日 动 采 集 数据 ,采集 后 数 
据 导 出 文件 格式 为 “. mdb”, 截 图 如 图 10. 14 所 示 。 

经 过 对 该 软件 的 参数 分 析 , 发 现在 任务 为 “高考 " 的 数据 米 集 站 点 设置 中 有 泄密 网 站 网 
址 : http://wsbm. sdzk. gov. cn/manage/ ,截图 如 图 10. 15 所 示 。 
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已 采 :| 已 发 -| 地 区 -| 科 妆 :| 插 名 :| 身份 证 号 -| 毕业 学 校 -| 者 三 
-1 0 济宁 市 嘉 宪 县 理工 类 轩 亚 下 37082919950 嘉祥 一 中 12370E 
中 | 0 济宁 市 亮 社 生理 工 类 _ .| 严 围 图 137082919921 嘉祥 一 中 12370& 
3 -1 0 济宁 市 嘉祥 县 理工 类 孙 人 金 情 37082919911 | 嘉祥 一 中 12370E 
4 | 0 济宁 市 嘉祥 县 理工 关 宋 芬 芬 37082919921 嘉祥 一 中 12370E 
5 -1 0 济宁 市 嘉祥 县 理工 类 魏 春 艳 37082919931 | 嘉祥 一 中 123705 
6 -1 0 济宁 市 亮 祥 县 理工 类 王 邦 艳 37082919930 嘉祥 一 中 12370E 
7 -1 0 济宁 市 嘉祥 县 理工 类 李 海 力 37082919900 嘉祥 一 中 12370& 
8 -1 0 济宁 市 亮 祥 县 理工 类 曹 掏 掏 37082919940 嘉祥 一 中 12370E 
9 -1 0 济宁 市 嘉祥 县 理工 类 丛 海 虎 37082919930 嘉祥 一 中 12370E 
10 -1 0 济宁 市 亮 尽 县 理工 类 张 刻 现 37082919931 嘉祥 一 中 12370E 
了 二 | -1 _ 0 济宁 市 嘉祥 县 理工 类 | 崔 礁 页 37082919940 嘉 必 一 中 ,12370E 
12 -1 0 济宁 市 嘉祥 县 理工 类 茜 丽 于 37082919940 | 吉祥 一 中 12370& 
13 -1 0 济宁 市 嘉祥 县 理工 类 囊 慧 还 37082919930 嘉祥 一 中 |12370&E 
14 -1 0 济宁 市 嘉 任 县 理工 类 陆 继 光 37082919930 嘉祥 一 中 /12370& 
15 -1 0 济宁 市 嘉祥 县 | 理工 类 汪 宗 川 37082919931 嘉祥 一 中 123705 
16 -1 0 济宁 市 嘉祥 县 理工 类 梁 保 37082919931 嘉祥 一 中 |12370E 
17 -1 0 济宁 市 嘉祥 县 理工 类 韦 陆 陆 37082919920| 嘉祥 一 中 123708 
18 -1 OD 讲 定 市 恋人 忻 且 理 于 类 张 邦 存 37082919910 嘉祥 一 中 12370E 
19 -1 0 济宁 市 嘉祥 县 理工 类 张 行 行 37082919940 嘉祥 一 中 123705 
20 -1 0 济宁 市 嘉祥 县 理工 类 申 正 光 37082919920 嘉祥 一 中 123705 
21 -1 0 济宁 市 嘉祥 县 理工 类 杜 家 运 37082919930 嘉祥 一 中 |12370E 
22 -1 0 济宁 市 嘉祥 县 理工 类 张力 祥 37082919911| 嘉祥 一 中 12370E 
23 -1 0 济宁 市 嘉祥 县 | 理工 类 李 绪 鲁 37082919931 嘉祥 一 中 123705 
机 二 二 日 I 用 下 Hh bs FRR TA mh 414sma 
图 10. 12 “高 考 来 集 信息 ”文件 夹 内 数据 部 分 内 容 截 图 
| 已 采 -| 已 发 :| 地 区 -| 科 类 :| 姓名 -| 身份 证 号 -| 毕业 学 校 -| 考 号 


15621 -1 0 滨州 市 滨 城 区 理工 类 王 帅 37230119921 滨州 市 滨 城 区 1237230: 
15622 -1 0 滨州 市 滨 城 区 理工 类 王 志 凯 37232119940| 滨州 市 滨 城 区 1237230- 
15623 -1 0 滨州 市 滨 城 区 理工 类 剂 志 刚 37230119921 滨州 市 滨 城 区 1237230: 
15624 -1 0 滨州 市 滨 城 区 理工 类 韩 蕊 替 37232519930 滨州 市 滨 城 区 1237230- 
15625 -1 0 滨州 市 滨 城 区 理工 类 许 文 其 53302319921 滨州 市 滨 城区 1237230: 
15626 -1 0 滨州 市 滨 城 区 理工 类 李 有 丹 丹 37230119940 滨州 市 滨 城 区 1237230: 
15627 -1 0 滨州 市 滨 城 区 理工 类 李 瑶 瑶 37230119930 滨州 市 滨 城 区 1237230: 
15628 -1 0 滨州 市 泻 城区 理工 类 高 鸡 吝 37230119931 滨州 市 滨 城 区 1237230: 
15629 -1 0 滨州 市 滨 城 区 理工 类 刘 性 性 37230119940 滨州 市 滨 城 区 1237230: 
15630 -1 0 滨州 市 泻 城区 | 理工 类 刘 艳 群 37230119940 滨州 市 滨 城 区 1237230: 
15631 =- 0 淀 州 市 演 城 区 理工 类 人 尾部 37230119931 滨州 市 滨 城 区 1237230- 
15632 -1 0 滨州 市 滨 城 区 理工 类 刘 字 37230119940 滨州 市 滨 城 区 1237230: 
15633 -1 0 滨州 市 滨 城 区 理工 类 件 久 看 37230119930 滨州 市 滨 城 区 1237230: 
15634 -1 0 滨州 市 滨 城 区 理工 类 石 梦 旗 37230119930 滨州 市 滨 城 区 1237230: 
15635 -1 0 滨州 市 滨 城 区 理工 类 张 红 源 37230119931 滨州 市 滨 城 区 1237230: 
15636 -1 0 滨州 市 滨 城 多 理工 类 侵 殊 起 37230119930 滨州 市 滨 城 区 1237230: 
15637 -1 0 滨州 市 滨 城 区 理工 类 王 寿 轩 37230119940 滨州 市 滨 城 区 1237230: 
15638 -1 0 滨州 市 滨 城 区 理工 类 张 微 37230119940 滨州 市 滨 城 区 1237230: 
15639 -1 0 滨州 市 滨 城 区 理工 类 李卫东 37230119931 滨州 市 滨 城 区 1237230: 
15640 = 0 滨州 市 滨 城 区 理工 类 赵 所 37230119920 | 滨州 市 滨 城 区 1237230- 
15641 -1 0 滨州 市 滨 城 区 理工 类 于 加 歌 37230119931 滨州 市 滨 城 区 1237230: 
15642 -1 0 滨州 市 滨 城 区 | 理工 类 张 志 明 37230119930 滨州 市 滨 城 区 1237230: 
15643 -1 0 滨州 市 滨 城 多 理工 类 张 迪 37230119931 滨州 市 滨 城 区 1237230: 
1564d -1 滨州 市 滨 城 区 理工 类 张 洋洋 37230119930 滨州 市 滨 城 区 1237230: 
15645 -1 0 滨州 市 滨 城 区 理工 类 齐 瑞 到 37230119931 滨州 市 滨 城 区 1237230: 
15646 -1 0 滨州 市 滨 城 区 理工 类 于 水 情 37230119940 滨州 市 滨 城 区 1237230: 
15647 一 0 滨州 市 泻 城区 | 理工 类 剂 志 通 37230119920 滨州 市 滨 城 区 1237230: 
15648 -1 0 滨州 市 泻 城区 理工 类 王志伟 37230119940 滨州 市 滨 城 区 1237230- 
15649 -1 0 滨州 市 滨 城 区 | 理工 类 杜 盼 盼 37230119930 滨州 市 滨 城 区 1237230: 
15650 -1 0 滨州 市 滨 城 区 理工 类 石 程 程 37230119930 | 滨州 市 滨 城 区 1237230- 
4 匠 记 区 1 二 和 | 这 下 H 守 拓 了 和 各 十 轨 言 1 走 3793N11G6G3m 之 诈 | 布 这 二 19595337337 


图 10. 13 


“滨州 . xls” 文 件 内 容 截 图 
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组 如 = 疗 打开 包含 到 库 中 = 共享 El Ea 新 建立 件 去 
名 称 创建 日期 修改 日 其 类 型 
区 下 载 I cradio_chs 2012/3/19 11:24 2012/3/29 14:05 ”文件 来 
芋 三 百 | SetupFreePost 2012/6/30 14:30 2012/6/30 14:30 ”文件 卖 
人 最近 访 问 的 位 置 觅 SQLserver2005Sp3-KB955706-x86-E... ”2012/5/13 10:27 2012/5/13 10:27 ”文件 去 
UltraEdit-32 2010/9/3 17:25 2010/11/18 17:37 ”文件 夹 
,国库 山 火车 采集 器 2011/7/11 18:58 2011/7/11 18:58 ”文件 夹 
山 屏幕 录像 专家 V7.5 2012/2/3 11:43 2008/8/22 21:11 文件 夹 
> 图 视 所 而 文本 车 措 工 具 2010/9/2 12:47 2012/3/27 18:39 ”文件 夹 
四 | 国 忆 局 360 安 全 了 十 8.7 正 式 版 .exe 2012/8/8 12:00 2012/8/8 12:09 应 用 程序 
> 国 叉 档 Adobe Flash Player for IE_11.3.exe 2012/8/8 11:45 2012/8/8 11:50 应 用 程序 
> 动 音乐 匠 Adobe Photoshop CS v8.01 简体 中 文 ..。 2010/2/26 16:48 2010/2/26 16:49 WinRAR 
器 AdobelllustratorCS2 简 体 中 文 版 .so 2011/6/2 17:15 2009/10/4 21:43 光盘 映 侯 
4 1 加 计算 机 加 cn_windows 7 ultimate x86 dvd x15-.. 2010/1/29 18:41 2010/1/29 19:57 光盘 阮 售 
后 Login (B:) 回 cn Wwindows server 2008 r2 standard..， 2012/2/16 10:53 2012/2/16 11:38 光盘 了 映 眉 
CI 剧 CorelDRAW.X4 简 体 中 文正 式 版 iso 2012/1/18 16:26 2012/1/18 16:33 ”光盘 映 售 
图 10.14 “火车 采集 器 ”软件 截图 


中 编辑 任务 【任务 创建 时 间 : 2012/4/25 18:42:24 ， 修改 : 无 ， 最 后 采集 : 无 ] 


选择 所 属 站 点 : | 测 j 起 站 点 _[id=dl] 


第 一 步 : 采集 网 址 规则 


采集 网 址 深度 : D 


园 从 负面 自动 分 析 得 到 地 址 链接 


Eo 


检测 重复 网 址 ”HTTf 区 了 方式 : 六 SET 同 FosT 


〇 手动 十 与 链接 地 址 规则 


/ _ 任务 分 步 进行 
没有 ? 新 建站 占 | 任务 名 : ”家 加 | 回 采集 网 址 加 采集 内 容 回 发 布 内 容 


第 一 步 : 采集 内 容 规则 | 第 三 步 : 发 布 内 容 设 次 | 文件 保存 及 部 分 高 级 设 资 | 


开始 采集 地 址 ; [http: /wsbm. sdzk gov cn/manage/! ksxxView. jsp?iptStzh=12370126110<1 868, 1, False, Truey 
http:/ /wsbm. sdrk. gow. en/ manage/ ksxxView. jsp?iptsfrh=12370126130¢1, 227, 1, False, True» 

, Sdzk. Eov, ory manaee! FsxxView, 1spriptstrh=123701261400<1, 84, 1, False, True” 

, sdrk. govw. cn manaeer ksxxView, jspriptsfrh=1237012615<1, 1497, 1, False, True, 

http:i /wsbm. sdrk eowv. cn/manager ksxxView. J]spriptstrh=123701251700<1, 57, 1, False, True» 


XN [ ，，，，，，，，，，，] 所 


负面 内 选 宪 区 域 米 集 呵 址 :从 部 ) 


回 采集 避 获 取 Cookie ”点 击 这 里 登录 网 站 ”获取 到 的 Cookie: 


电 点 击 添加 任务 备注 信息 


| 本 后 | 二 | 
| 
’ 
| CE 
4 


“火车 采集 器 ”软件 任务 设置 截图 


图 10. 15 
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该 项 任务 创建 时 间 为 2012 年 4 月 25 日 ,截图 如 图 10.16 所 示 。 
| 建 时 间 : 2012/4/25 18:42:24 ,修改 : 无 ， 最 后 采集 :者 中 


Wy/ 编 罚 任 务 【 任 和 


“火车 采集 器 ”软件 任务 创建 时 间 截 图 


在 “火车 采集 器 ”软件 安 沪 目 录 下 的 采集 数据 存放 文件 夹 (“D:\Software\ 火 车 采集 器 \ 
Data\38- 高 考 ”) 中 发 现 “. mdb” 格 式 空 表 SpiderResult. mdb, 部 分 截图 如 图 10. 17 所 示 。 


图 10. 16 


国 Content 
国 DownloadFile 转 Content 本 
二 [已 发 -| 地 区 -| 科 类 


(2) 经 过 数据 恢复 ,在 1 号 人 硬盘 下 盘 根 目录 中 恢复 出 文件 夹 “ 高 考 采 集 信息 ”, 该 文件 夹 
内 有 三 个 子 文件 夹 :.“36- 高 考 ”“38- 高 考 3”“39- 高 考 4”, 每 个 文件 夹 内 有 “. mdb” 格 式 文 
件 “SpiderResult. mdb”, 内容 分 别 为 2012 年 夏季 高 考 山 东 省 多 地 市 的 考生 信息 资料 ,与 之 
前 发 现 的 火车 采集 软件 采集 数据 空 表 SpiderResult. mdb 格式 相符 。 

3) 安装 和 使 用 实施 传输 考生 资料 信息 行为 的 软件 情况 ; 

(1) 在 送 检 的 3 号 硬盘 D 盘 中 恢复 出 “Ddl10” 文 件 夹 ,该 文件 夹 为 “飞人 铅 传 书 ” 软 件 安装 
目录 文件 ,截图 如 图 10. 18 所 示 。 


a view | “BH: -> WC 各 400JB-00TJC005.0 
| 


图 10. 17 


# 国 和: Hame Si | Created 
日 - 国 号 Reot | 回 闻 WData 0 Bytas 2012-2-16 10:57:53 
口 鹿 | 360Downloads 口 枚 | 合并 打印 .aae I0TS2 Bytes 2012-7=9 18:09:07 
口 大 Config Nsi 国 斋 滨州 市 .x1s 17803584 «+ 2012-7-9 16:08:18 
备 - 口 启 *534fb64bbecl3 吉 6 如 304 抽 a 的 口 圆 飞 谁 传 书 - 曾 捷 版 说 明 , txt iT05 Bytes 2012-2-16 10:57:43 


由 固 启 所 sash 制作 | 口 网 IPMs6, exe 1502720 B--. 2012-2-16 10:57:43 
口 启 bost | 口 中 bramchss, int 9g2B Byrtas 2012-2-15 9:39:09 

让 -也 | 六) Phetoshop_vwi 口 几 eala tet BE Byetes 201l2-=2-15 9:39:08 

饼 -上 | 鸭 potoshep | 15828 Bytes 2012-2-15 9:39:08 


目 - 国 | 思 RECYCLER 


as 20l2-2-15 9:39:08 
5 20l2-2-15 日 :39:07 


下 重启 T29dB4 Ba 201l2=2=15 9:39:0T7 
| 口 珊 wData ; 339320 Hy 2012=2-15 9:39:07 
由 器 癌 Ddll 口 了 项 update_SP30DR inf 104138 Hye 2012-2-15 9:39:06 


由: 口 萎 Tile 
局 System Volume Inforaation 
口 区 TID0WWDD 
向 -加 种 火车 采集 | 
转 -[ 志 | 加 批量 改名 园 件 omeerenamer_2.2.0 
鲜 口 加 扫 摘 
口 鹿 相机 说 明 二 


图 10.18 “ 飞 铅 传 书 " 软 件 安 疹 目 录 文 件 蕉 图 


通过 分 析 " 飞 向 传 书 " 通 信和 上 日志, 发 现 用 户 曾 利用 该 软件 接收 过 ”* 演 州 . xls "文件 ,接收 时 


间 为 2012 年 7 月 9 日 ,截图 如 图 10.19 所 示 。 


(2) 在 3 号 使 盘 下 盘 发 现 文件 传输 软件 "改名 传 书 ”, 经 对 该 软件 传输 记录 发 现 , 该 用 户 
曾 在 5 月 9 日 ,传送 名 为 36- 高 考 >“36- 高 考 3”“36- 高 考 4” 的 文件 ,截图 如 图 10. 20 所 示 。 


"021 9:39:06 
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辽 飞 航 传 书 国 回 己 


在 线 Y 


国 FICO 


人 并 通信 记录 
国 刷新 | 国 删除 当 前 用 户 记录 | 范围 ， 用 户 名 中医 可 | 呵 吉 | 从 Piz 99 至: [an1z- 0-19 可 


局 .WORKGROUP = ee 
一 PICco( 本 机 ) 发 送 方 昵称 《 帐 导 ) 时 间 


局- 其 地 用 户 YINHAI-PC(192,168,1,3X192,.,, 2012-2-16 10;58;15 此 和 送 :om windows sever 本 
aL te @ IBM(192,168,1,12X192.168,1,,,，2012-7-9 16;08:45 交 忻 [滨州 市 .xls] 接 收成 功 ! 已 保存 到 

: YIMNHAI-PCETLS2 ,168,1 ,3 

口误 伞 记 录 


机 -WORKGROUP 
所 有 记录 


图 10. 19 “ 飞 侈 传 书 " 通 信 日 志 截 图 


总 YINHAI-PC(192. 168. 1.3)(192.168.1.9 2012/5/9 15:46:24 筷 话 : 折 - 高 者 
总 YINHAI-PCr192.168.1. 引 (192.168.1. 引 2012/5/9 15:46:31 吉庆 : 36- 高 考 3 
品 YINHAIPC(192. 168. 1.)(192. 1658.1.3 2012/5/9 15:46:34 点 关 ; 36- 高 者 4 


图 10. 20 “ 飞 钢 传 书 ”传送 文件 截图 


3.。 结论 

通过 对 送 检 三 块 人 硬盘 数据 进行 检验 分 析 , 基 本 还 原 了 嫌疑 人 团伙 利用 “火车 采集 器 ” 软 
件 对 网 站 数据 进行 息 取 收集 ,后 利用 “ 飞 饮 传 书 ” 软 件 进行 传送 并 存储 涉及 高 考 考 生 资 料 信 
县 的 文件 的 犯罪 过 程 ,形成 了 完整 的 证 据 链 ,为 案件 的 后 组 侦办 和 诉讼 提供 了 数据 文 摊 。 


10.4 电子 数据 功能 性 取证 


电子 数据 功能 性 取证 是 判断 程序 的 主要 功能 的 环 市 。 电 子 数据 功能 性 取证 的 主要 对 象 
是 木马 和 病毒 ,可 以 统称 为 恶意 程序 。 在 近 几 十 年 ,由 于 系统 和 软件 的 各 种 漏洞 ,以 及 人 们 
防范 意识 不 强 , 木 马 和 病毒 大 肆 传 播 ,破坏 系统 , 盗 和 历 资金 和 数据 ,甚至 于 人 危及 国家 安全 。 据 
不 完全 统计 , 近 十 年 ,我国 由 于 恶意 程序 而 造成 的 直接 和 间接 经 济 损失 达到 数 千 亿 人 民有 币 。 
各 类 涉及 恶意 程序 的 案件 也 层出不穷 ,这 就 要 求 取证 人 员 具 备 木 马 和 病毒 的 取证 能 力 。 


10.4.1 电子 数据 功能 性 取证 的 定义 

利用 电子 数据 取证 技术 ,对 恶意 程序 的 运行 机 制 、. 危 害 后 果 等 功能 进行 分 析 和 鉴定 , 称 
为 电子 数据 功能 性 取证 。 
10.4.2 电子 数据 功能 性 取证 的 方法 

电子 数据 功能 性 取证 主要 使 用 以 下 方法 : 

(1) GA/T 757 一 2008 程序 功能 检验 方法 ; 

(2) GA/T 828 一 2009 电子 物证 软件 功能 检验 技术 规范 ; 
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(3) GA/T 1170 一 2014 移动 终端 取证 检验 方法 。 
除 上 述 方法 外 ,还 可 以 使 用 取证 过 程 中 需要 的 其 他 方法 。 
10.4.3 电子 数据 功能 性 取证 针对 的 案件 类 型 


电子 数据 功能 性 取证 主要 应 用 于 非法 侵 人 计算 机 信息 系统 、 和 破坏 计算 机 信息 系统 和 利 
用 计算 机 实施 金融 盗 田 、. 诈 蚤 犯 菲 活动 中 ,利用 计算 机 程序 进行 犯罪 的 案件 。 


10.4.4 电子 数据 功能 性 取证 的 思路 


keentomgednnmnsn 对 恶意 代码 进行 反 汇 编 后 ,通过 对 其 天 
健 部 分 进行 分 析 和 人 研究 ,进而 擎 握 其 破坏 性 和 感染 方 式 等 特征 ， 


10.4.5 电子 数据 功能 性 取证 案例 
1. 案件 摘要 


2014 年 11 月 , 某 市 公安 局 破获 一 起 提供 侵入 .非法 控制 计算 机 信息 系统 程序 、 工具 案 。 
经 查 ,2013 年 以 来 ,犯罪 嫌疑 人 开发 手机 监听 软件 ,用 于 对 受害 人 手机 进行 语音 监听 、 短 信 
监控 等 行为 。 


2. 样品 基本 属性 
样品 基本 属性 如 表 10. 3 所 示 。 
表 10.3 样品 基本 属性 


文件 名 com. android. apk 

文件 MD5 码 0ea75845601ffal0a31236543010335e 
文件 大 小 1. 43MB(1503643 字 节 ) 

文件 最 后 修改 时 间 2014 年 1 月 24 日 ,14:42:16 


I: FE 训 件 【. apk) 
式 :” 病 3%0 手 机 助手 重 必 人) 一 一 
F:" 
下 1. 43 MB 习 ,503,643 字 节 ) 
本 be 上 [天 间 : 革 委 有 人 0, 505,280 字 节 ) 
送 检 文件 属性 截图 a 
时 间 : 。 2014 年 1 月 24 日 ， 14: 息 :18 
时 间 : 。 2014 年 1 月 24 日 ， 14: 息 :18 
仿 问 时 间 : 


属性 : 贱 只 读 如 。 固 隐 藏 如 ”四 存档 ) 


[站 aa| [= 取消 sj | 应用) | 
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3. 功能 检验 过 程 
(1) 将 “com. android. apk” 复 制 到 apktool 工具 的 安装 目录 下 ,使 用 apktool 进行 反 编 
详 ,查看 反 编 详 后 的 文件 *AndroidManifest. xml”( 见 图 10. 21) 。 


修改 日 期 类 型 大 小 


去 收 荐 夫 2 

昌 assets 

山中 

加 ms 

出 smali 

| AndroidManifest.xml 
| ] apktoolyml 


2014/12/22 13:38 
2014/12/22 13:38 
2014/12/22 13:38 
2014/12/22 13:38 
2014/12/22 13:38 
2014/12/22 13:38 


图 | 齐 面 
加 电厂 访问 的 位 置 


XML 文档 7 KB 
YML 文件 1 KB 


园 库 
轿 视 示 
于 | 图 片 
文档 
状 迅雷 下 载 


使 用 apktool 对 com. android. apk 进行 反 编译 后 生成 的 文件 AndroidManifest. xml 


(2) 打开 AndroidManifest. xml 分 析 其 中 代码 ,如 图 10. 22 所 示 , 得 知 该 程序 获得 了 以 
下 权限 ,如 表 10.4 所 示 。 


图 10. 21 


“9xml version="1. 0” encodine= tf 
<manifest android:versionCode= 7 android:versionName="7.0” package=" com. android33w0” 
xmlns'android= “httr://schemas. android. com/apk/res/android’ > 
<uses-sd android:minSdkYersion=”8” 


<uses—permission android:name= andro oid. permlssion, BCES NOCK A ATION® / 


uses permlssion 
<USES—pErmlsslion 
:Ss—permlssion 
“USES-—pErmLSss1on 
<USES-peErmission 
“USes-—permission 
USES-—permission 
-permission 
's—permission 
“USES—PpErmiss1ion 
“USES-permission 
uses-permlsslon 
‘USES—permlssion 
<“USES-DpEITm1LSSLOn 
<USES 一 ETILSSLDI 
USES—bErmLSS10nN 
:Spermi ssion 
:s-permission 
's—permission 
's—permission 
Ss-permission 
‘speEr mi ssion 
“USES—permission 
usSeES-—permlssion 
<USES—PpEIMmL SS1on 
“Uses permlsslon 
<*USES—pErmL SSs1on 


“USeESs-feature android:name= 


android: 


androld: 


android 


androlid 
android: 
android 
android: 
android: 
android: 
android 
android: 
android: 
android: 
android: 
andro1id 
androlid 
androld: 
android 
android: 
android: 


android 
android 
android 


android: 
android: 


-name=" android. permission. 
mame= android permission. 
:name= android permission. 
‘name=" android, permission.' 
mame= android. permission.! 
name=" android. permi ssion. 
name=" android. permi ssion. 
name=" android. permission. 
name=" android. permi ssion. 
mame= android, permission., 
name= android. permission. 
name=" android, permission， 
name=" android permission. 
name= android, permission. 
:name= android permission., 
‘name= android permission. 
name=" android. permission. 
‘name=" android. permi ssion. 
name=" android. permission. Ac 
name=" android. permission. 
mame= android. permissi on. 
name=" android. permission.P 
name=" android, permission. 
android: 
android 


name= android. permission., 


:name= android. permission. 


name= android, permission. 
Dame= anidrolid, perml ss on. 


mY 总 石 Fa 
A | PS 


MO IT _UNMOUI rr F TITLESYSTEINS / 


READ LOGS / 

IEBRATE 

NRITE, SETTINGS Be 
STSTEN ALERT WINDC n” 
RECEIVE _EC 上 a COMPLETED” 
GET_TASE /> 

RECEIVE_ 

READ Su 

WRITE_SKs” /> k 

RE AD | -UN 8 SS 
INTERNET” / 
MCESS Wl FT ST hIE ,/ 
CHANGE _ WIFI_STATE A 
Mb | IETWNORRE_ STATE fe 
CHANGE _ NETWORK STATE 


ML CR SS_CHR: CEIN_PRr IPERTIES” 
COARSE LOCAIIC N /> 国 


COESS FINE LOCATTC NN 

READ PHONE _STATE” 
DCESS OUTGOING CALLS” 

WRITE FE TERNAL STORAGE” / 

CALL_PHONE” 

CORD ADDIO | 

FEBOOT 

CAJIERA 


‘android. hardware. camera ”> 


<uses-feature android:name= android. hardware. camera. autofocus” /> 


“apbplication android:label=" fstring/app name” android:icon=’@drawable/ic launcher > 


图 10. 22 


该 程序 获得 的 权限 
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表 10.4 依次 申请 的 权限 解释 


ACCES MOCK_LOCATION 
ACCESS_GPS 
MOUNT_UNMOUNT_FILESYSTEMS 
READ_LOGS 

VIBRATE 

WRITE SETTINGS 

SYSTEM ALERT WINDOW 
RECEIVE_ BOOT COMPLETED 
GET TASKS 

RECEIVE_SMS 

READ_SMS 

WRITE_SMS 
READ_CONTACTS 

INTERNET 
ACCESS WIFI STATE 
CHANGE WIFI STATE 
ACCESS NETWORK STATE 
CHANGE_NETWORK_STATE 
ACCESS_CHECKIN_PROPERTIES 
ACCESS COARSE LOCATION 
ACCESS_FINE_LOCATION 
READ_PHONE_STATE 
PROCESS OUTGOING CALLS 
CAMERA 

WRITE EXTERNAL STORAGE 
CALL PHONE 
RECORD_AUDIO 

REBOOT 


获取 模拟 定位 信息 

允许 GPS 定位 

允许 挂 载 和 反 挂 载 文 件 系 统 可 移动 存储 
允许 程序 读 取 底 层 系 统 日 志文 件 
允许 访问 振动 设备 

允许 读 写 系统 设置 项 

显示 系统 窗口 

允许 程序 开机 自动 运行 

允许 程序 获取 当前 或 最 近 运 行 的 应 用 
接收 短信 

读 取 短信 和 内容 

允许 编写 短信 

允许 应 用 访问 联系 人 通讯 录 信 息 
使 用 网 络 

获取 当前 WiFi 接 人 状态 和 WLAN 热点 的 信息 
改变 WiFi 状态 

获取 网 络 信息 状态 

改变 网 络 状 态 如 是 否 能 联网 

读 取 或 写 人 登 check-in 数据 库 属 性 表 的 权 
访问 CELLID 或 WIFI 进行 粗略 定位 
精确 定位 (GPS) 

访问 电话 状态 

允许 程序 监视 ,修改 或 放弃 拨 出 电话 
使 用 照相 机 

允许 程序 写 人 外 部 存储 

初始 化 电话 拨号 而 无 须 用 户 确 认 

录 首 

允许 程序 重新 局 动 设备 


(3) 使 用 反 编 译 工 具 jeb 打开 文件 “com. android. apk” 进 行 代码 分 析 ( 见 图 10. 23)。 

(4) 运行 开始 后 要 求 注 册 设 备 管理 需 , 可 隐藏 图 标 , 防 止 鲫 载 , 如 图 10. 24 所 示 。 

(5) 具有 实时 获取 通话 记录 的 功能 ,在 手机 接 打 电话 时 进行 监控 ,将 接 打 的 号 码 和 通话 
起 止 时 间 保 存在 相应 文件 中 ,如 图 10. 25 所 示 。 

(6) 具有 实时 获取 短信 记录 的 功能 ,在 手机 收发 短信 时 进行 监控 ,将 通信 的 号 码 、 通 信 
时 间 和 短信 和 内容 记 录 下 来 (如 图 10. 26 所 示 )。 
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ET 


Decompiled Java 33 Strings |Constants |Notes | 


limport java:io0mjectIlnput: 

limport Tava.ido.0nijecthtpat:; 

imwort Tava.io.Render: 

import javanio.CcharBuftfer: 

import java.nio.charset,.Charsets 

mrt Tava.nin.charset.1llegalCharsetNamer reptions 


Eublic class 日 immlements Externalizables Cloneable |{ 
BDeprecated public static final 6 a 
Eublic static final mm bs 
public static final a ec; 
private static final String[] d; 
Eriwate static a es 
privwate String £: 
Private Class og 
Eriwate c& hs 


static 站 
Basa = New a(l"text/plain: charset=unicode; class=java.io.l1nputstream"s "Plain Text")s 
Bb = jew a(l"application/s-1ava-sSerialized-oiect; class=iava.lang.String", "Unicode String"): 
BE = new Aa("application/xm-Java-file-list; class=]ava.util.List", "application/r-java-file-list")s 
TraceIngpn Bd = mew Strinmg[l]{"text/sgnl", "text/xmml", "text/htel", "text/rtf”, "text/enriched", "text/richtext", 
Tracedutr "text/uri=list", "text/tab-geparated-=-walues", "text/ti40", "text/rfc822-headers", "text/parityfec™", 
UUDecodel 司 "tert/directory", "text/css", "ternt/calendar, "application/n— ava-serinlized oliect"., 


UEncode: 汪 "text/plain™"}: 
下- 三 Wull: 


图 10.23 使 用 jeb 打开 文件 “com. android. apk” 


Eublic void a({) { 还 册 设 备 宫 理 器 
Intent 0 = new Intent ("android.app.action.RDD DEVICE ADMIN") ; 
vO.putExtra("android,.app.extra.DEVICE ADMIN"., this. d); 
"TO.putExtra("android.app.extra.ADD EXPLAMATION", “下 三 使 用 "] ; 
this.startBactivityForResult (vO, 1); 


图 10.24 注册 设备 管理 器 


id onReceivelContext argb: Intent arg 
this.a 三 argé; 
if (arg7.getAction() .equals("android.intent.action.NEW OUTGOING CALL")) { 
SharedPreferences vO = arge.getSsharedPreferences ("callconfiqg", 0}); 
boolean v1 = v0.getBooleanl"optioncall", true); 
boolean v0 1 = v0.getBoolean("optionrecord", true); 
1if(lv1 sa lwO 1) { 
eturr: 


} 


this.c = arg7.getstringExtral("android.intent.extra.PHONE NUMBER"); 
new el() .a(); 


new d(); 接 打 电话 时 进行 监控 
String v0 2 = d.a(largé, this.oe); 


if(v0 2.eqguals("")) { 53 | sg fe 1 
v0 2 = "无 "; 与 本 机 通话 的 号 码 ， 通 话 起 止 时 间 等 信息 保存 在 文件 中 


} 


String vi 1 = new e().a(}); 

this.e = arg6.getsharedPreferences ("callconfigqg", 0) .edit(); 
this.e.putBoolean ("incomingflag", false); 

this.e.putstring ("phonenumber", this.c); 

this.e.putstring ("contactname", vO 2);} 

this.e.putSstring ("starttime", vl 1); 

this.e.commitl); 

Log -e ("PHONEWIZARD"，" 打 出 电话 :" + |this.o); 


图 10.25 取得 通话 记录 功能 
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1 


gp 4 一 其 取 接收 到 的 短信 


this.a(" 拒 信和 来 自 ” + v10 + 下 ( 糙 名 :和 + VE 二 mm 二 v9): 
} 
catch (Exception TY2 1) 1{ 


10.26 ” 读 取 短信 功能 


(7) 具有 实时 获取 彩信 记录 的 功能 ,在 手机 收发 彩信 时 进行 监控 ,将 通信 的 号 码 、 通 信 
时 间 和 彩信 和 内容 记 录 下 来 (如 图 10. 27 所 示 )。 


+ "\r\n"; 
whilel(v3 1 .moveToMext ()) | 本 到 0 
v1 2.a2(); 
com.android33w0.c.a v4 = v1 2.e(); 
v1 2.b(); 
v4.9(" tp "+ this.e + "(NAME:" + T6 + ") ,当前 位 置 ” + w8 二 “" ,接收 时 间 :" + 廿 his- 工 ) ; 
可 4 。 工 ( 
v4.h(" 


String[] wl1 3 = v3 1.getColumnNames(); 

if(v0 4 = null) 1{ 
vO 4= new String[vl] 3.1length]; 

1 

int T1L #4; 

for(vli 4 = 0; vi 4 < v3 l.getCcolumnCount(); ++v] 4) 1 
vO 4[vi 4] = v3 1.getstring(v]1 4); 

} 


10.27 读 取 彩信 功能 


(8) 具有 通过 接收 短信 指令 并 执行 相应 代码 的 功能 ,相关 指令 有 三 种 ,包括 定位 、 开 启 
网 络 与 拍照 三 种 ,由 于 具有 拦截 指令 短信 功能 ,所 以 这 三 种 指令 受 监 控 方 是 看 不 到 的 (如 
图 10. 28 所 示 )。 

(9) 通过 使 用 百度 的 定位 服务 ,获取 手机 地 理 位 置 ( 如 图 10. 29 所 示 )。 

(10) 具有 对 通话 进行 录音 的 功能 ,录音 保存 的 文件 名 为 “callrecord. amr”( 如 
图 10. 30 所 示 ) 。 

(11) 控制 方 可 以 预先 设置 受 监 控 手 机 和 控制 方 的 邮箱 ,并 将 拦截 到 的 通话 记录 、 短 
信和 彩信 记录 ,手机 位 置信 息 和 秘密 拍摄 的 照片 等 信息 发 送 到 控制 方 的 邮箱 (如 图 10. 31 
所 示 ) 。 

4. 结论 

此 恶意 程序 是 一 个 典型 的 以 祝 取 用 户 隐 私 为 目的 的 应 用 程序 ,具备 恶意 程序 的 
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E(w7.equals (定位 }“")) 1{ 

try 1 | 
this .al" 定 位 指令 来 自 " 
m 未知" 本 下 定位 时 


十 " (姓名 :+ w4 二 ")， 当 前 位 置 : " 十 wl1 3.get3tring("location", 


} 
人 记 收 短信 指令 ， 并 拦截 指令 短信 


this.abortBroadcast () ; 


下 全 七 LI 

} 

if(v7.equals(" ee 
try 1{ 


this.al(l" 启 用 网 络 指令 来 自 ”+ v10 十 疆 ( 姓 名 :"” + v4 十 ")， 和 启用 时 间 : " + v8); 


} 
catah (Exception OO 1) { 
} 


this.abortBroadcast () : 
returr:; 


p4 拦截 指 今 短信 


E(w7.equals("{ 折 权 }")) 1 
try 1{ 
new ablargl3, 10, 0) .al(); 


} 
atoh (Exzception wO 1) { 


} 


this.abortBroadcast () ? 
return; 


图 10.28 接收 执行 短信 指令 功能 


Km version="1.0" encoding="uwtf-6" standalcne="yes" 
<map> 
<String name="endtime">2014-12-17 16:02:28</strin 
<string name="phonenumber" m/string> 
<boolean name="turnoff3g" value="false" /> 
<atring name="starttime">2014-12-17 16:03:39</string> 
<boolean name="incomingflag”" sailue="false" /> 
<string name="contactname"> 天 </string> = 机 定 亿 的 地 址 
<string panel onat Ln" 
<string name="filenam"></string> 
<boolean name="™Wifionly" value="true" /> 
<string name="locationy > nnn , Rel/ Str ing> 
ee 1 


图 10. 29 定位 功能 


Private void a() I 
i1£f(this.n) 1 
Log.e (this.b, "正在 录音 中 ,本 次 录音 该 弃 ") ; 
Teturny, 


} 


Log.e (this.b,， "准备 录音 ")，; 
this.k = this.a.getsharedPreferences("callconfig", 0);} 
if(!this.k.getsatring ("Phonenumber", "") .equals("")) I 
try 1 
this.£ = nmew File(this.a.getFilesDir(}), "callrecord.amr"); 
this.c = mew MaediaRecorder():; 
this.co.setAudioSource (1):; 并 所 | 
this.c.setoOutputFormat (3); 尼 首 后 保 行文 名 
this.c.setAudiopncoder(l1):; 
this.o.setOutputF1ile (this.f.getAbsolutePath()); 
this.c.prepare(); 
this.c.startl(): 


图 10. 30 ”录音 功能 
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w5- 可 (Strin9g-valueoft (v5.a()) + "的 短信 和 和 通 笑 记录 (当前 位 置 :" + vw3 1 + ")"); // 邮件 的 标题 this.h 
v5.1(""); // this.] 

Cursor V3 2 = vd4-Qq() ; 邮件 标题 

int wi 3; 


for(lvi 3 = 0; vO < v3 2.getcCcount(}); vi 3 = 1) I 
v3 2.moveToPosition (vO0); 
v5.h(string.valueOf (v5.h()) + "\r\n\r\n<br><br>" + v3 2.getstring(2)); // this.i 
+ 二 豆 人 0 ; 
} 
v3 2.close (}); 
if(vw1 3 != 0) 1{ 
com.android33w0.d.a v0 1 = new com.android33w0.d.a (this.a); 
vO l.al(lvo); 


v0 1 al(): or 


} 
catch (Exception vO 2) 1 


图 10.31 发 送 邮 件 功能 


思 考 是 


1. 电子 数据 存在 性 取证 的 定义 和 适用 的 方法 是 什么 ? 
. 列举 出 三 个 电子 数据 存在 性 取证 适用 的 案件 类 型 。 
. 电子 数据 存在 性 取证 使 用 的 恢复 技术 有 哪些 ? 

. 电子 数据 统一 性 取证 的 案例 进行 哪些 方面 的 比 对 ? 
. 电子 数据 行为 性 取证 的 思路 是 什么 ? 


;. 电子 数据 功能 性 取证 的 案例 中 ,恶意 程序 可 以 获得 的 权限 有 哪些 (列举 出 6 种 


哇 未 


附录 A ”Base64 编码 


表 A.1 显示 了 简单 的 映射 模式 ,二进制 的 输入 以 3 个 八 位 组 ,或 者 说 24bit 为 一 个 数据 
块 进 行 处 理 ,24bit 数据 块 的 每 个 6bit 被 映射 成 一 个 宁 符 ,在 表 A. 1 中 ,字符 以 8bit 的 编码 
进行 显示 。 在 这 种 情况 下 ,每 个 24bit 的 输入 被 扩展 成 32bit 的 输出 。 


6bit 值 字符 编码 6bit 值 字符 编码 6bit 值 字符 编码 6bit 值 字符 编码 


4 E 20 U 36 k D2 0 
” 下 21 V 37 ] 03 1 
6 (5 22 W 38 m 54 2 
7 H 23 AX 39 n 号 村 3 
8 | 24 Y 40 0 506 4 
9 J 25 41 p 57 5 
13 NN 29 d 45 t 61 9 
14 () 30 46 U 62 
15 QQ 31 47 V 63 = 
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办 人 数 掘 
二 进 制 表示 00100011 01011100 10010001 
-六 进 制 表 示 235C91 
输入 数据 的 Base64 编 码 
字符 表示 ah 
ASCII 编 码 (8bit) 01001001 00110001 01111001 01010010 
十 六 进 制 表示 49317952 


24 bit ”一 


一 


附录 B 秒 单位 转换 


1s( 秒 ,Second) 二 1000ms( 训 和 秒 :millisecond) 
二 1000000ps( 微 秒 ,microsecond) 
二 1000000000ns( 纳 秒 ;nanosecond) 
二 1000000000000ps( 皮 秒 ;picosecond) 
二 1000000000000000fs( 飞 秒 ;femtosecond) 


附录 C 时 间 定 义 


系统 时 间 Systemtime CMOS 时 间 是 来 源 

文件 时 间 分 为 32 位 和 64 位 不 同 的 定义 

yl , 、， ..， .1 .| 当地 时 间 ( 相 对 于 GMT/UTC), 可 以 由 系统 时 间或 文件 时 
当地 时 间 Systemtime 或 Filetime 间 转 换 而 来 


DOS 16 位 ( 双 字 节 ) 16bit 基于 16 位 CPU 的 DOS 操作 系统 


404 电子 数据 取证 


32 位 Windows/DOS 


描 述 


从 开始 位 置 ( 偏 移 量 0) ,5bit 的 数据 表示 秒 ,6bit( 偏 移 量 5 
开始 ) 表 示 分 钟 ,5bit( 偏 移 量 11 开始 ) 表 示 小 时 。 但 是 5bit 


Filetime( 四 字 节 )32bit| 不 能 存储 60s 容量 ,因此 需要 以 2 秒 为 增 量 。5bit( 偏 移 量 


文件 时 间 格 式 


64 位 Windows 
文件 时 间 格 式 


Filetime( 八 宇 节 )64bit 


16 开始 ) 表 示 日 ,4bit( 偏 移 量 21 开始 ) 表 示 月 ,7bit( 偏 移 量 
25 开始 ,从 1980 年 开始 计算 ) 表 示 年 

基于 1601 年 1 月 1 日 00:00:00, 以 100ns(lns 二 10 一 9s) 递 
增 的 UTC 时 间 格 式 


附录 D Windows 各 版 本 重点 目录 和 文件 对 比 表 


Windows XP/2000 


\Documents and Settings 

\Documents and Settings\ (user) 

无 

\Documents and Settings\ (‘user)\Desktop 

\ Documents and Settings \ (‘user ) \ 
My Documents 

无 

\Documents and Settings\ ‘user) \Favorites 
\Documents and Settings\(user)\My Music 
\Documents and Settings\ ‘(user \ My Video 
\Documents and Settings\ (user) \My Picture 

无 

无 

\ Documents and Settings \ ‘(user ) \ 
Application Data 

\Documents and Settings\ (user) \Local Settings 
\Application Data 

\Documents and Settings\ (user)\Local Settings 
NTemp 


\Documents and Settings\ ‘(user \ Nethood 
\Documents and Settings\ (user) \PrintHood 


\Documents and Settings\ (user) \Send to 


Windows Vista/7/2008 


NUsers 

\Users\ (user) 

\Users\ (user’ \Contact 
\Users\ ‘user’ \Desktop 


\Users\ (user\ Documents 


\Users\ (user)\Downloads 
\Users\ (user’ \Favorites 
\Users\ (user) \ Music 
\Users\ (user) \Video 
\Users\ (user) \Picture 
\Users\ (user) \Searches 
\Users\ user) \Links 
\Users\ (user)\Save Games 


\Users\ (user’\ AppData\ Roaming 
\Users\ (user)\ AppData\Local 


\Users\ (user’\ AppData\Local\ TEMP 


\Users\ (user\ AppData\ Roaming\ Microsoft\ Windows 
\Network Shortcuts 

\Users\ (user’\ AppData\ Roaming\ Microsoft\ Windows 
\Printer Shortcuts 

\Users\ (user’\ AppData\ Roaming\ Microsoft\ Windows 
\Send to 


Windows XP/2000 
\Documents and Settings\ ‘user)\Templates 
\Documents and Settings\Recent 


\Documents and Settings\Start Menu 

\ Documents and Settings \ Local Settings 
\ History 

\ Documents and Settings \ Local Settings \ 
Temporary Internet Files 


\Documents and Settings\(user) \Cookies 


Documents and Settings\All Users 
Documents and Settings\Default User 


thumbs. db 


\Recycled or \Recycler 


Windows Vista/7/2008 
\Users\ ‘user \ AppData\ Roaming\ Microsoft\ Windows 
NTemplates 
\Users\ (user\ AppData\ Roaming\ Microsoft\ Windows 
\Recent 
\Users\ (user)\ AppData\ Roaming\ Microsoft\ Windows 
\Start Menu 
\Users\ (user) \ AppData \ Local \ Microsoft\ Windows 
\ History 
\Users\ (user) \ AppData\ Local\ Microsoft\ Windows\ 
History\Low 
\Users\ (‘user \ AppData\ Local\ Microsoft\ Windows\ 
Temporary Internet Files 
\Users\ (user’ \ AppData\ Roaming\ Microsoft\ Windows 
\Cookies 
\Users\ (user) \ AppData\ Roaming\ Microsoft\ Windows 
\Cookies\Low 
ProgramData 
\Users\Default 
\Users\ (user \ AppData\ Local \ Microsoft\ Windows 
\Explorer 
\ $ Recycle. Bin 


附录 E 电子 数据 取证 标准 (国家 标准 和 公共 安全 行业 标准 ) 


(1) GB/T 29360 一 2012 电子 物证 数据 恢复 检验 规程 ; 

(2) GB/T 29361 一 2012 电子 物证 文件 一 致 性 检验 规程 ; 

(3) GB/T 29362 一 2012 电子 物证 数据 搜索 检验 规程 ; 

(4) GA/T 754 一 2008 电子 数据 存储 介质 复制 工具 要 求 及 检测 方法 : 
(5) GA/T 755 一 2008 电子 数据 存储 介 奈 与 保护 设备 要 求 及 检测 方法 ; 
(6) GA/T 756 一 2008 数字 化 设备 证 据 数 据 发 现 提取 固定 方法 ; 

(7) GA/T 757 一 2008 程序 功能 检验 方法 ; 

(8) GA/T 828 一 2009 电子 物证 软件 功能 检验 技术 规范 ; 


(9) GA/T 829 一 2009 电子 物证 软件 


- 致 性 检验 技术 规范 ; 


(10) GA/T 976 一 2012 电子 数据 法 庭 科 学 鉴定 通用 方法 ; 

(11) GA/T 977 一 2012 取证 与 鉴定 文书 电子 签名 ; 

(12) GA/T 978 一 2012 网 络 游戏 私服 检验 技术 方法 ; 

(13) GA/T 1069 一 2013 法 庭 科 学 电子 物证 手机 检验 拉 术 规范 ; 


406 电子 数据 取证 


(14) GA/T 1070 一 2013 法 庭 科学 计算 机 开关 机 时 间 检 验 技术 规范 ; 

(15) GA/T 1071 一 2013 法 庭 科学 电子 物证 Windows 操作 系统 日 志 检 验 技术 规范 ; 
(16) GA/T 1170 一 2014 移动 终端 取证 检验 方法 ; 

(17) GA/T 1171 一 2014 忆 片 相似 性 比 对 检验 方法 ; 

(18) GA/T 1172 一 2014 电子 邮件 检验 技术 方法 ; 

(19) GA/T 1173 一 2014 即时 通讯 记录 检验 技术 方法 ; 

(20) GA/T 1174 一 2014 电子 证 据 数 据 现场 获取 通用 方法 ; 

(21) GA/T 1175 一 2014 软件 相似 性 检验 技术 方法 ; 

(22) GA/T 1176 一 2014 网 页 浏览 硕 历 史记 录 数 据 检 验 技术 方法 。 


附录 现场 勘 验 记录 


公 【( 网 安 ) 勘 [2015]X28 号 


现场 勘 验 检 查 工作 记录 


制作 单位 大 连 市 公安 局 网 络 安 全 保卫 支队 


X 公 (网 安 ) 勘 [2015]X28 号 
2015 年 5 月 10 日 11 时 00 分 大 连 市 公安 局 网 安 支 队 值班 
员 XX 接 到 XX 派出 所 (XX 大 队 / 支 队 ) 民警 XXX 的 电话 报案 
称 : 嫌疑 人 何某 、 熊 某 在 其 居住 地 贩卖 网 络 木马 。 民 警 已 经 对 
现场 进行 保护 ,要 求 网 安 支队 立即 派 技术 人 员 勘 查 现场 。 
出 /处 警 情 况 : 获悉 上 述 情况 后 ， 大 连 市 网 安 支 队 共 参 人 
赶赴 现场 ， 于 12 时 00 分 到 达 现场 。 


现场 勘 验 检 查 于 2015 年 5 月 10 日 12 时 10 分 开始 ， 至 


2015 年 5 月 10 日 15 时 4 分 结束 。 
现场 勘 验 检查 指挥 由 大 队长 刘 浩 阳 担任 。 


现场 地 点 : XXX 市 (区 、 自 治 州 、 田 ) XX 区 县 (市 、 区 、 


旗 ) XX 路 XX 号 何某 、 能 某 家 中 。 
现场 保护 : 薛 X 负责 保护 现场 。 
现场 勘 验 检 查 利用 的 光线 : 自然 光 。 
勘 验 检查 情况 : 


1. 现场 已 做 好 安保 工作 ， 无 关 人 员 已 经 全 部 清 离 现 场 ， 安 


排 于 XX 负责 现场 拍照 。 


lll 
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2、 现 场 为 一 公寓 ， 房 间 号 为 801， 公 寓 内 为 一 标准 间 ， 


有 两 张 床 ， 靠 窗 有 两 把 椅子 ， 南 侧 为 一 写字 台 。 拍 照 ， 并 绘制 


现场 平面 图 。 


3、 与 字 台 上 有 一 台 灰 色 联想 台式 机 ， 处 于 开机 状态 。 退 
出 计算 机 中 正在 还 行 的 杀毒 应 用 程序 ， 并 蔡 用 计算 机 屏保 与 符 
机 设置 ， 查 看 当前 计算 机 时 间 ， 并 与 北京 标准 时 间 〈GMT+8 ) 


进行 比 对 。 扣 照 ， 照 片 详 见 《 勘 验 检查 照片 记录 表 》。 


4、 人 台式 机 机 箱 上 有 一 台 白 色 水 星 牌 路 由 器 ， 处 于 开局 状 


态 。 拍 照 ， 照 片 详 见 《 勘 验 检查 照片 记录 表 》。 


5、 在 写字 台 上 鼠标 旁边 发 现 一 部 蓝 色 蕴 果 5C 手机 ， 处 于 
开机 状态 ,无 SIM 卡 ， 但 是 WIFI 连接 已 开 。 且 有 登录 密码 。 


拍照 ， 照 片 详 见 《 勤 验 检查 照片 记录 表 》。 


6、 在 写字 台 书 果 内 发 现 一 部 黑色 小 米 ( 红 米 ) 手机 ， 处 
于 开机 状态 ， 无 SIM 卡 ，WIFI 连接 已 开 。 且 有 登录 密码 。 拍 


照 ， 照 片 详 见 《 勘 验 检 查 照 片 记录 表 》。 

7、 人 台式 电脑 屏幕 状态 栏 图 标 右 侧 发 现 QQ 聊天 软件 正在 运 
行 ， 处 于 离线 状态 ， 显 示 QQ 号 为 20443221XX , QQ 昵称 为 “ 何 
哥 ”。 使 用 截屏 软件 对 该 QQ 主 界面 、 最 近 联 系 人 、 好 友 殉 
表 、 个 人 资料 窗口 分 别 截图 并 保存 在 取证 U 盘 上 。 使 用 QQ 软 
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件 自 带 的 “消息 管理 器 ”将 全 部 消息 记录 分 别 导出 为 html 格 


式 ， 并 对 以 上 截图 及 文件 进行 数据 完整 性 校 验 ， 详 见 附 录 :《 固 


定 电子 证 据 清单 》。 


8、 台 式 电脑 屏幕 状态 栏 图 标 右 侧 发 现 TrueCrypt 加 密 容 
器 软件 正在 运行 ， 截 图 并 打开 该 软件 窗口 ， 将 窗口 内 瘟 符 及 图 
标 与 计算 机 磁盘 管理 中 的 盘 符 进行 比 对 ， 发 现 该 运行 机 器 使 用 
虚拟 容器 软件 生成 文件 型 (分 区 型 、 磁 瘟 型 ) 唐 拟 容器 ， 瘟 符 


为 I:\， 容 器 占用 空间 499MB， 容 器 存储 路 径 为 C:\Document 


and Setting\gass\UserData\mydata， 加 密 方式 为 AES。 使 用 


取证 U 可 中 的 FIK Imager 软件 对 该 虚拟 容器 生成 的 逻辑 分 区 


I:\ 制作 IE01 镜像 ， 获取 的 文件 进行 数据 完整 性 校 验 ， 详 见 


附录 : 《固定 电子 证 据 清单 》。 
9、 使 用 取证 U 杷 中 的 取证 大 师 软件 ， 勾 选 对 应 取证 策 


咯 ， 对 内 存 易 丢失 数 据 进 行动 态 取证 并 你 存 ， 取 证 分 析 结 果 保 


存 为 html 格式 , 详 见 附 录 : 《固定 电子 证 据 清 单 》。 
10、 使 用 取证 U 租 中 的 FTK Imager 软件 对 当前 运行 的 内 


存 及 进程 制作 内 存 镜像 ， memdump. mem， 获 取 的 文件 进行 数据 


完整 性 校 验 ， 详 见 附 录 : 《固定 电子 证 据 清单 》。 


站 
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11、 计 算 机 内 未 发 现 其 它 易 丢失 、 易 破坏 及 解密 数据 。 进 


行 拍照 登记 并 封存 。 详 见 : 《封存 电子 证 据 清单 》 。 照 片 详 见 


《 勘 验 检查 照片 记录 表 》。 


12、 现 场 其 他 部 位 经 勘 验 未 见 明 显 异 常 ， 在 勘 验 过 程 中 未 
对 现场 物品 损坏 破坏 ， 在 勘 验 过程 中 操作 的 各 类 勘 验 工具 在 被 
勤 验 计算 机 中 仅 留 下 运行 痕迹 。 未 对 其 安装 任何 应 用 程序 ， 对 


整体 计算 机 数据 的 采集 及 分 析 没 有 影响。 
13、 发 现 的 存储 介质 已 经 全 部 拍照 登记 并 封存 。 详 见 : 


《封存 电子 证 据 清单 》。 有 照片 详 见 《 勘 验 检查 照片 记录 表 》。 
勘 验 于 2015 年 5 月 10 日 15 时 04 分 完成 ， 至 此 整个 勘 验 过 程 


结束 。 


封 仓 电子 证 据 清单 


编号 照片 数量 、 编 号 


C01 联想 台式 机 灰色 


| 


附录 411 
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固定 电子 证 据 清 单 
EE ai 


完整 性 校 验 什 


QQ 好 友 列 表 . jpg 


5089b42ec2dedb6e7384981lc2a592133 
内 存 策 像 757cfb42bf8613d011b6c7e63da35194 


1 | 
index. html 动态 取 1t 90ee2b9027d895907390baal84771884 
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附录 413 


勒 验 检查 照片 记录 表 


a 如 000]1 


备注 “| 现场 勘查 整体 环境 照片 。 


勘 验 检查 照片 记录 表 


如 0002 


备注 “| 现场 勘查 写字 台 附 近 联 想 台 式 机 及 路 由 器 照片 。 
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划 验 检 奋 有 照片 记录 表 


备注 


0003 


现场 勘误 台式 机 各 种 连接 线 照片 。 
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划 验 检 奋 有 照片 记录 表 


0004 


备注 现场 勘查 网 络 走 线 照 片 。 
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附录 417 


其 验 检 会 照片 记录 表 


编号 0005 


备注 “| 现场 勘查 系统 时 间 照 片 。 
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勘 验 检 查 照 片 记录 表 


编号 0006 


备注 “| 现场 苹果 Iphone 5C 手机 。 


要 


附录 419 
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荐 验 检 会 照片 记录 表 


编号 0007 


备注 “| 现场 小 米 ( 红 米 ) 手机 。 


附 
421 


页 
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现场 勘 验 检 查 制图 6 张 ; 照相 14 张 ; 录像 带 编号 1 个 ; 

录音 带 编号 “无 

现场 勤 验 检查 记录 人 员 : 

笔录 人 薛 X 

制图 人 二 六 

照相 人 二 XX 

录像 人 

录音 人 


现场 勘 验 检查 人 员 ， 
单位 大 连 网 安 职务 大 队长 ”签名 刘 浩 阳 
单位 大 连 网 安 职务 主任 科 员 ”签名 薛 X 
单位 大 连 网 安 职务 科 员 签名 于 XX 


现场 勘 验 检查 见证 人 ; 
性 别 年龄”” 岁 ， 住 址 签名 
性 别 。 年龄。 ” 岁 ， 住 址 签名 


二 O 〇 二 五 年 五 月 十 日 


附录 G 电子 数据 检验 全 定 意 见 书 


控制 编号 : JL-61 X 公 电 鉴 字 [2014] 第 XX 号 第 一 版 第 0 次 修订 


XX 市 公安 局 电子 数据 检验 鉴定 实验 宇 
电子 数据 检验 鉴定 意 
X 公 电 鉴 字 [2014] 第 XX 号 
一 、 绪 论 
(一 ) 委托 单位 : 
中 国 合格 评定 国家 认可 委员 会 〈CNAS ); 
公安 部 网 络 安全 保卫 局 。 
(二 ) 委 托 人 :XXX 
(三 ) 受理 日 期 : 2014 年 7 月 21 日 
(四 ) 案 ( 事 ) 件 情况 摘要 : 本 次 能 方 验 证 为 模拟 簿 网 络 财 


球 案件 ,赌球 网 站 域名 为 www. betball. com( 中 文 名 为 贝 博 公 司 )。 
警方 查抄 了 杀 涉 案 人 员 的 电脑 ,， 据 该 犯罪 媒 疑 人 交待 : 电脑 内 有 
该 公司 与 其 他 分 销 商 的 合同 doc 文本 4 个 、 彩 票 奖金 统计 xls 表 
格 5 个、 彩票 统计 截图 png 文件 5 个。 其 中 部 分 文件 已 被 删除 ， 

部 分 文件 用 rar 压缩 ， 部 分 rar 文件 有 压缩 密码 , 但 嫌疑 人 已 不 
记得 密码 ， 只 记得 加 密 文 件 是 通过 web 邮件 下 载 的 ， 密 码 在 邮件 
内 。 黎 方 对 碍 抄 的 电脑 进行 了 硬盘 复制 ， 生 成 供 检验 的 硬盘 镜像 
文件 ， 现 需 对 该 硬盘 镜像 文件 进行 鉴定 检验 ， 提 取 、 固 定 与 恢复 
相关 电子 证 据 。 


(五 ) 检 材 和 样本 : 标识 有 参加 机 构 代 码 的 U 盘 壹 个 。 
(六 ) 检验 鉴定 要 求 : 
1 .计算 送 检 TU 盘 (样品 ) 和 送 检 U 失 中 硬盘 镜像 文件 的 SHA256 


地 址 : 恶 市 亚 路 亚 X 号 第 1 页 / 共 13 页 
话 : 0XXY-8805X2XX 
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424 电子 数据 取证 


控制 编号 : JL-61 X 公 电 鉴 放 [201 和 第 XX 号 第 一 版 第 0 次 修订 


校 验 码 ， 

2、 提 取 、 固 定 与 恢复 本 次 案件 的 相关 电子 证 据 。 

(七 ) 检验 鉴定 时 间 : 2014 年 7 月 21 日 9:00 至 2014 年 7 
月 22 日 17:30。 

( 八 ) 检验 鉴定 地 点 : XX 市 公安 局 电子 数据 检验 鉴定 实验 


( 九 ) 检验 鉴定 方法 : 
GA/T 754 一 2008 电子 数据 存储 介质 复制 工具 要 求 及 检测 方 


GA/T 755-2008 电子 数据 存储 介质 写 保护 设备 要 求 及 检测 方 


GA/T 756-2008 数字 化 设备 证 据 数 据 发 现 提取 固定 方法 ; 

GA/T 976-2012 电子 数据 法 庭 科学 鉴定 通用 方法 ; 

GB/T 29360-2012 电子 物证 数据 恢复 检验 规程 ; 

GB/T 29361-2012 电子 物证 文件 一 致 性 检验 规程 ; 

GB/T 29362-2012 电子 物证 数据 搜索 检验 规程 。 

二 、 检 验 鉴 定 过 程 

2014 年 7 月 21 日 9:00 开 始 检验 鉴定 。 

(一 ) 使 用 的 设备 : 

检验 鉴定 工作 台 〔 设 备 编号 ; DLCFVWA-SB-D-1-1-6)。 其 
中 搭载 的 取证 设备 为 Tbleau T35689iu Forensic Bridge 只 读 锁 。 
取证 软件 为 Encase V6. 17、Liveview0. 7b、 美 亚 取证 大 师 V3、 


地 址 : 亚 市 亚 路 了 和 号 第 2 页 / 共 13 页 
电话 : 0XXX-8805X2XX 


X-ways Forensics V17.2。 数 据 恢 复 软件 为 Winhex V15. 4、 


FinalData V3. 0。 
(二 ) HASH 计算 : 
送 检 检 材 (U 盘 ) 插入 只 读 锁 中 ， 
莹 及 U 盘 中 镜像 文件 的 哈 希 值 。 截 图 示例 如 下 


日 原 回 县 外 蚊 
二 过 主语 :二 和 


Offeet 
TT 


S| OOGm0D10 


DOD20 
DO O30 
DOGm0D40 
DDC00goSb 
可 三 LDL 
| 怕 DG00997D 
| OOO IDGO 
| OOOMIIDS0 
四 


| DDEhIIGEO 


DOAmmoaco 
Do 


mh | DOOdEd 


Ooomoaro 
DO0DUED 
DnnnnDlin 
吕 中 GDl3D 
Domno 
DOBmIg #0 
DomoV i150 
DDOMOU L100 
DDRhIQ170 
Doomoieo 
| 
DOOmDO iD 
DDEmId 100 
| 
ODOM ED 
DOI ED 
D00nn0DIFD 


晶 中 DO eo 0 
DO TD 


利用 Winhex 软件 计算 1 


疙 本 入 | 的 总 世 其 二 | -前 和 中 | 加 晤 人 当 国 训 | 本 4 上 口罩 | 学 


ET 
LE | TT i | 


全 DE 
Sh OF 0 IF Fe BE iB Ye 
Fi Ay CH BD BE O07 Bl 04 


I 


BE3 Ce 1D 49 了 4 i 3 得 这 
Fo ACE SC 00 74 FE Be OF 
EE LQ EB #6 OD 了 了 2 FE 
BO FE OW OE 7 DS MO Be 


Br OF EB A 
0 B4 DB eV 
a FEF? E36 
Dh 77 了 了 3 | 
下 亚 De 毅 
外 
3 ?2 36 1 FB SS Mh ?5 
ER Od EA OD FF 7T6 ON FF 
Dl EN IO Ba 42 BE Fd CD 
EF 
EC BD BEd 20 Th Bl FE 列 
Ba BE BS O00 4 2 ?2 WF 
ET 了 20 EF 0 65 ?2 61 ?4 
Es Gh OO dD Bh Fa 了 可 bn 
?4 6 EE 在 7 20 73 了 中 ?3 
00 呵 


SS 


00 
na 
00 
Da 
DF 3 
DD 
Da 
00 
oa 
Er 


U 盘 SHA 256: 


9oDFEB2B8OQA4FE9ASFAE 7 SDCEFDEEGF3FEQ17D2679E4B1BCBICT 


57D6464AE7A3F 
文件 镜像 SHA 256: 


0469D3C208F6AF 1 4AA21EDDAo2E5749D612B6345C2E66E0A553 


AFB7F3D7 102B1 


地 址 : 焉 市 恶 路 JXX 号 


电话 : 0OXXX-8805X2XX 


uc 


TB Or BA 7 B 
Oo Bd OE CB 0 EB Fz Bt 
大 和 0 和 FE D4 VB 了 二 OB 
OP 和 


DO 六 0 加 局 丰 局 硬 才 者 二 和 
30 FB Ci Bl ?4 2B G1 ED 
TE 06 Eh 66 BB 00 FE 酸 
13 6 1 73 OF 4F 74 OB 
EP BL 
全 和 全 相遇 下 本 二 站 BL 
Ta 二 四 We EE 
下 总 下 二 下 习 了 下 本 
GE Br 20 BF MO Gm Te bl 
也 晶 本 5 ED 和 G0 O00 BD WO 
od G0 O00 6@ Go 
0 do 0 蛮 
mo G0 0 Ba 6 


0 OO O00 Qa GO 
G0 DD D0 ma 刘 
3 30 32 届 


男 
二 
生生 = 半 = 生 = 阁 = 蕴 = 省 = 生 = 千 = 业 =| 


TT 


,Pi ,Ei 
Bn ,| .i .dot , ‘ln 
Lal1t.a, 有 


,1 地 
ea a 
| 

| ean 

V, HE ， 瑟 放 LU 下 是 
:Fu t+" 
EE EE HE 
.Blt nas.0t 。 
FP 
Lid partition ta 
Bilis. ErTGr laadin 
可 右 中 和 Trg 
i 


0 炊 个 可 
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(三 ) 证 据 文 件 格式 转换 : 

由 于 取证 软件 Encase V6. 17 不 支持 img 格式 的 证 据 文件 ， 
因此 需 通过 专用 取证 软件 X-ways Forensics V17.2 将 U0U 盘 内 的 
img 镜像 文件 转 为 磁盘 格式 ， 然 后 再 通过 “创建 磁盘 镜像 ”还 原 
为 Encase V6. 17 可 以 识 列 的 E01 格式 的 证 据 文件 。 

(四 ) 系统 信息 : 

使 用 美亚 取证 大 师 软 件 读 取 制作 完成 的 E01 格式 证 据 文件 ， 
利用 自动 取证 功能 提取 系统 信息 ， 列 表 如 下 : 


6 | 注册 所 有 者 gass 


ass 
|g Wierosort ino wp | 
9 | 产品 ID |55661-640-0059266-23567 
ERE 


(五 ) 使 用 Encase 读 取 制作 完成 的 E01 格式 证 据 文 件 。 根 
据 案件 情况 ,分 别 对 doc 文本 、xls 表格 以 及 png 彩票 截图 文件 
讲 行 过 滤 ， 发 现 3 个 涉案 doc 文本 文件 、2 个 涉案 xls 表格 文 
件 以 及 2 个 涉案 彩票 截图 文件 。 分 别 制作 书签 ， 截 图 示例 如 下 : 


口 贝 博 合同 20130401.doc 2014/03111 14:40:54 
图 | [% 贝 博 合 同 20130625.doc 2014/03/11 14-14:34 
到 口 由 全 合同 20130926doc 20140408 1437.54 


201dO3SA11 15:45:06 
20140311 16:40:54 
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控制 编号 : JL-61 X 公 电 鉴 字 [2014] 第 XX 是 第 一 版 香 0 次 修订 


…… 履 村 人 : 王 先 生 合同 编号 : 20130026-01. 


= -联系 人 ; 章 小 闻 千 的 时 间 ; 2013 年 8 月 36 日 


甲 方 自转 对 乙方 是 球 突 票 进行 分 销 ,为 明确 观 方 的 权利 利 义务 ， 既 观 方 协商 , 签订 本 协议 。* 
甲 方 自愿 对 已 方 是 球 彩 票 通行 分 情 。 己 方 网 上 为 甲 方 要 人 殿 巾 商 . 查询 . 畦 奈 。 在线 支付 服务 。" 
甲 方 在 销 情 己 方 星球 到 覃 时 ,应 按 遇 己方 的 规定 - 

正太 勾 必 。 固 如 作 球 当 而 亿 成 的 覆 失 ,志方 不对 担任 但 实 任 。= 

己方 因 尺 下 情况 没有 正 岗 执行 甲 方 指 省 的 ， 己 方 司 千 闻 担任 何 足 任 : " 

口 ( 一 ) 己 态 娘 收 到 的 指 省 信息 不 明 。 存 在 且 码 。 不 膏 豆 午 ; 。 

口 ( 三 ) 甲 方 屿 户 和 束 杂 烙 不 是 或 售 用 客 厦 不 足 ;  - 

( 三 ) 甲 方 卫 户 内 资 盘 相 素 结 或 扣 划 ;  - 

(四) 下 可 抗力 或 其 他 不 可 归 固 于 已 方 的 情况 。= 

乙方 枫 据 甲 方 的 悄悄 屯 肉 予 提成 ,所 成 比例 :3 万 以 内 2% , 袖 万 以 内 3 各 ,0 万 以 上 4 各 ww 


回 约 实 尾 : 接 《中 童 人 民 失 和 国 音 同 法 》 承 担 地 的 裤 尾 。= 


(六 ) 根据 案件 情况 ， 继 续 使 用 Encase V6. 17 对 rar 压缩 
文件 进行 过 滤 ， 发 现 p 个 涉案 rar 压缩 文件 。 制作 书签 ， 截图 示 
例如 下 : 


20140408 10:33:43 者 文件 组 


: 2014/04/08 13:55:56 。 | 是 文件 组 
打开 名 为 “betball prizelist score. rar” 文 件 ， 发 现 1 
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控制 编号 : JL-61 X 公 电 鉴 字 [201 相 第 XX 号 第 一 版 第 0 次 修订 


个 涉案 xls 表格 文件 ，1 个 涉案 png 彩票 截图 文件 。 截 图 示例 如 


| 男 ， 


分 别 打开 这 两 个 文件 ， 截 图 示例 如 下 ; 


ee—— 


5004 50010669 Score 
5109 S0029352 Score 
BLO SONZIS1T Score 
52l8 SHOOTSI]2 Score 
S21 OOSA12 Score 
S22 50068738 Score 
5221 SIOIMA28 Score 


5222 500T4814 Score 
5223 500T 的 19 Score 
S22d 罗 由 1797 Score 


B25 50040946 Senre 
Bob 50066152 Score 
bar 区 的 25045 Seore 
5542 90006555 Score 
Sod3 SOOTE138 Score 
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打开 名 为 “betball 13051. rar” 文 件 ， 发 现 1 个 涉案 xls 
表格 文件 ，1 个 涉案 png 彩票 截图 文件 ， 但 是 均 有 压缩 密码 。 截 
图 示例 如 下 : 


| Hr ep LEMs) Mel) We UY 


(七 ) 根据 案件 情况 ， 加 密 文件 是 通过 Web 邮件 下 载 ， 密 码 
在 邮件 内 。 因 此 考虑 使 用 美亚 取证 大 师 对 证 据 文件 的 上 网 记录 进 
行 检索 。 在 上 网 记录 中 发 现 嫌疑 人 曾 13 次 登录 www. betball. com 
赌球 网 站 。 截 图 如 下 所 示 : 
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控制 编号 : JL-61 X 公 电 和 鉴 放 [2014] 第 XX 号 第 一 版 第 0 次 修订 


i 


Le 
下 
日 
日 
日 
日 
a 
日 
a 
| 
加 
日 
日 
日 


3 


此 图 可 知 ， 嫌 疑 人 在 2014-04-08 10: 31: 24 曾 访问 过 带 有 
“betball 13051. rar” 电 子 邮件 附件 文件 的 赌球 网 站 邮箱 。 

(和 八 ) 使 用 Encase V6.17， 设置“betball” 为 关键 字 ， 对 
证 据 文件 进行 全 盘 检 索 。 截 图 示例 如 下 


Ge 
= ,eh hr = le BT a ,a i + .i ha Ds = he IFRTSAN 
Tiehl = emi li = ©, "i pi i = i i = ll | MS FE sii fe = HH ra ls = Fr) dg df, i 博 苯 ， 
,rb 1 “ie me Eire 1 emer ag dite lan ath, laa iil. ort wee bend Came ET 1 |) fey ST Pe TF 4 es Bt 三- 
LE 
Ti Te 1 Pi bd co ani: Se cop uberas cleans nF ra nde -eb 昌 
a | pcr te le et Te ter rn ie her | eg uated viet nd cre i i Fre gt htad | NE! Mar Ee res hr re er er 
ET Ei Te a 10prFEL 有 ET 1 可是 基 后 1 Br 本 TD 本本 和 TFTETrPL_PnOP ] DemagT Ran3BEG9 anEePi 
ED Wd eT Ge el a re re rae CT ety 9 rr er 


-1 wi re ge ph eg ee eT rf ii eg ee lie | wi | fii tne i ey 
ED asp pe lle lg —— rp i — 1 ee a id ce i T 0 ee ekh ra st i 1, ss i 赴 卓 闫 击 HE 下 4 
Er Dr es Br ee ee ein ot ee | to et Ti re lr ere Fr ig Bd, Bd Pi si i Seer liad EE | rp 
| 
了 JE 二 村 a i i i VMe — Te ne et ri Te i Pr er at A Mr 1 Bd Ply Se pl 
站 net Fr ded 4 2104, id eee ee Sg bad tare PE 
Pll creer in Te me ra re er Fa, i dd 2 Pi ert hl EE rr ME re a 1 
rs = Seca egg ni igi aera | er ed 3 Ema ,srg err rir = “pt eg = Tp ph pe Fis ary 
ar st pa a Pe TT ON aT i pe ad Do ehh er BE i re Hy pi Mire en pp Ch TT 
[ 

二 本 生 而 和 区 二 站 汪 康 帮 肌 ,F 硬 F 用 是 了 用 十 电 卫 二 而 _ 中 重 司 于 中, 站 而 站 .上 和 证 直 RH 三 
于 。 本 和 辣 各 和 由。 下 于 机 全 市 .直击 和 和 IT 西 各 和 各 而 大。 下 昧 本 本 证 中 下 -大 瑟 吉首 Rs 和 下 


my 1 | i TT DO Tag “i 
sa ss | rn HT Ti ee DH Tg “es 
吉 = Jar Jr Wap nid per stn pr 二 
PE 


在 命中 的 文本 中 ,查找 相关 源 代码 , 并 通过 正确 的 文本 样式 ， 
显示 部 分 电子 邮件 内 容 ， 截 图 如 下 所 示 :《〈 红 色 框 内 为 解压 密码 ) 


村 Br Meabessage Nullats = 省。 请 [ES ET a eT EC 
from war baliall com ([137 06.1]) bry STARS FE27284D1 ; FE 4 Apr 2014 24.42 -0800 Mme Versen .OrnDete: Fri, G4 Apr 2014 41022442 +0000inConinni- Typ 
muilpertmbed, boundany="—= Part_ 335 3637084.1 . B41 33 A4010eclcoedid3e leN TOG we beleal com- ni Maler. AllerLoge Wet 
romr acrini@betbal comirinSubiect boatbal 13061 rarrinTo, mas zhang@betbal comir ni-Priorty: 3 (Nonmmal] Viewidesssga MiniBody * 得 小 组 ， 看好 : sdius- 
这 是 人 的 中 达 13054 丧 失 和 作 蜡 杯 sodheg 的 次 二 数据 页 医 媚 下 密 本 是 63549544。 <br> > < cn VW nody 
草 中 姐 ， 慎 如 : *br fs ; 晶 是 恒 昨 的 品 寄 13064 晶 的 和 世界 环 aedhalf 交 次 全 数据， 文 析 扣 匡 窗 机 二 63640644。 击 
rfp ViewMessage clearmianBody = 坦 小 组 ， 你 好 <br Panbsp anbsp.anbap Enbap anbsp Bnbsp, 这 是 你 村 的 中 过 13054 基 的 和 和 包办 村 sbchalf 的 次 盖 圳 
, 宰 性 鼎 区 天 椰 是 B3648644。 br ls ViewiMessmge GivelLirndk = "Shot php Termag = 2 Brmeg ude Ziodder Me 1&foiter ranma=lMNEOC, Vewbleeea, ffinitlinik = "Eres3adge-vi 
sw hp hy pe Dmeg Lid Dhler = 1 poer inome=lNE CMGhereil= 1 Viewhiessage otiochments = |: Viewiernage atichrerts pushil Wd: -1, rine lolae, 
22521, mme Type. “appicatonociel- Stream’ feMame. “belbal 13061rar, dwniced attach phprin=20 Socoma2cTo0T21ade to 1 TST rar&bs=zE&bse=0imsg 
Bn,_ id= Zlder_id = Lider_framt= NBEON ES fenmme=tatbal ‘1061 rar”, ‘vie “View rage, pte rmgatrn=2-0_ Bolb32c78372108616c06db00176579 rarbiiename=betba 
E -ZEmsg Lid-28ioker 站 = 各 本 ET Iname-INECI, iemplame: 2 0 bcObalcroariiadeitgbgliesTg rar 让， Vieehlessage replyHibm = “<br i 
nto border lof: Bokd 2px 8000000; margr-iaft Sp packing jet Easy- 一 Orignal Mesaage 一 一 < /> db>From bs. adminBbelbal comdbr /> <b> Todb>, nia zhang@ 
bb SG betbal T3051. rerdbr 记 <br 户 站 小 姐 ， 食 好 :< 这 是 和 要 的 足 容 13054 


I 


L 


一 AnzFrom betpal comnnzSent; Ff, Apr 4, 2914 6-24 PM Subiect betbal_13051.rarrinzWin> 生 小姐 ,你 好 ; wn 
守 是 你 加 的 于 19054 有 的 和 和 全 办 本 sbi 次 当 业 所 支 忻 锯 匡 本 三 是 6364644。 ri viewihessegeeReplyhinl = rue, Vewiessaga EAep 
"nue; er rT ss i viaMessepe rephrHlet vicalessage rwerdPian = " 
Message sciipt hoi E32 和 


5 
5 
5 
上 蜂 
本 
me 


= 
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( 九 ) 使 用 得 到 的 密码 “63649544” 对 “betball 13051. rar” 
压缩 文件 进行 解压 ， 得 到 1 个 涉案 xls 表格 文件 ，1 个 涉案 png 
彩票 截图 文件 。 打 开 两 个 文件 截图 如 下 ; 


betball ID 
一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 …- 
LotteryPrize AddTime | 
S31373 eastowen d29| 1295490164| 
EOTl?matao7y | d29| 1235490164 
202005 wig dls 出 25g016s 


47651 abcllllll | d29 1295490164 
纪 晤 昭 枯 杀 310 | | 1298170512 
B43073 划 | 20t1 | | 1298170512| 
T91386 晓 春 爵 雨 1200327345 
了 号 下 七 昌 6 下 Us | 1300327345| 
T15730 狠 狼 地 种 菜 | 1300d13905 


= 而 站 二 : 代 砚 = 率 基 = 直面 = 条 用 人 = 站 计 全 站 | 秆 GEEEEE.4 二 机 | 本 
| | : 


(十 ) 根据 案件 情况 ， 可 知 仍 有 部 分 文件 被 删除 。 使 用 专业 
底层 数据 恢复 软件 Winhex 对 镜像 文件 进行 数据 恢复 。 截 图 示例 


地 址 : 又 市 区 路 到 KX 号 第 9 页/ 共 13 页 
电话 : 0XXX-8805X2XX 


附录 431 


432 电子 数据 取证 
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i 了 出 本 项 本 站 Tes 


天上 | 一 局 提 叶 | 站 吓 中 本 请 /本 看 天 | 究 


hh Td 
2 


a Dt 

本 而 项 画 让 

BE B01 T7302 

3 PO 了 Bh IT LE 蚀 
昌 和 BD i 
让 1 
| 
| 

ee ee 

Ti0rE FI ti Bn 

FE 


"PP PEEEESESE 


Ra 


二 二 
上 有 
a 
[一 呆 
本 


OE Es 
PE | 
EE PPE gall 
PFE MF 
272 
EF | 
PP 


发 现 1 个 涉案 doc 文本 文件 、1 个 涉案 xls 表格 文件 以 及 1 
个 涉案 彩票 截图 文件 。 分 别 打 开 这 些 文件 ， 截 图 如 下 : 


| | 


缚 先生 … :省 同 篇 号 320130714- 人 1+ 
舍 小 谓 ..:.. 莹 的 时 间 ， zi 娃 了 同 14 目 。 
币 种 上 展 币 ..... 人 本 
围 沪 自居 对 乙方 星球 于 大 进行 苍 铺 ， 汶 明确 再 方 的 相 利 和 义务 。 是 本 方 央 商 ， 莹 条 让 二 
议 。 
= 号 方 自 厦 对 己方 星球 彩票 进行 和 劳 情 。 世 方 网 上 测 甲 方 蝇 人 所持 算 、 查询 、 转 三 .在 几 
训导 展 粤 。。= 
= 儿 方 在 销 售 艺 方 星 环 彩 本 上 时。 应 按 轩 志方 的 规定 正确 摊 作 。 国 操作 乎 当 而 造成 的 手 
上策 ， 按 方 乎 醒 担 任何 责任 。。 
= 杞 坷 因 岂 下 情况 没有 正确 执行 甲 才 指 志 的， 三 才 可 看 焚 扯 住人 和 何 责 尾 : = 
局 +t 一 》 己 育 搂 收 到 的 指 专 信息 和 趟 明 、， 窑 在 乱码 不容 等 ; = 
口 《 三 3》 轴 方 阴户 在 献 章 是 竹 昨 惑 信 用 是 诬 王 昨 ， = 
三》 甲 方 上 户 向 责 生 被 本 靖 酸 扣 划 := 
ff 加) 不 可 入 加 惑 其 他 于 可 归 国 于 己方 的 情 混 。= 
= 本 者 根 曙 甲 广 的 销 上 师 半 隆 提成 ， 提 威 比例 3 矶 内 了 88，a56 万 了 以 南 卫 风 ，a6 万 
上 Si + 
= 她 询 站 性， 楼 《中 替 人民 共和 国 癌 同 竺 》 十 相 圳 的 直人 尾 ，= 
= 上 让 音 同 志和 闪 方 式 ， 殿 需 驱 方 友好 协商 山 决 ,协商 生成 由 音 同 符 订 地 人 民法 辽 情 法 
莫 记 。 i 
= ” 坑 届 的 闪 事 项 ， 率 音 同 一 起 两 盆 ， 供 两 吉 一 份 ， 王 粘 这 标 油 音 同 , 经 者 同 开 才刚 
请 认可 才 葡 字 益 章 ， 天 型 方 声 实 意 因 大 示 ， 自 每 字 盖 章 之 目 生 效 ， 忧 声 件 具有 同等 法 委 
二 而 。。* 
需 方 《过 童 ) " 入 方 《过 章 7 " 
单位 老 称 ， renmbuw 购物 网 : 和 人 位 和 名称 风 博 公司。 
要 用 人 夺 : 发 污 蛙 - 要 托 代 计 : Ei 
呢 ::-: 语 : 151572311059 醒 :.: -- 话 s O21-61508776= 
尾 -- -- 直 : 095-44908546: 情 -… - -十 sa 021-61508776= 
0 i 二 
帆 行 帷 旱 : 44367420090140741 N07 恨 行 帐 层 :。 B222 训 O31 3 
开户 银行 建设 狂 入 = _ 耳 户 银 行 农业 银行 2 


加 
和 
局 
局 
站 
ia 


地 址 : 亚 市 亚 路 吏 和 号 第 0 页 / 共 13 页 
电话 : 0XXX-8805X2XX 


控制 编号 : JL-61 


X 公 电 鉴 字 [201 可 第 XX 号 


betball_lProjectllLotterylype Lotteryto SponsorlD 
11011 


E51144 北 语 


B375 SOldd216 MCF ourtonl 
8376 SO04BS85 WCFourGonl 
8377 SO046585 WCF ourboal 
382 50136481 WOF ourtonl 
B38 O3648l WF ourtoal 
14355 SOB23898 MCF ourtoal 
lb6 SOse WOF GEL 
L3357 S10T MT ourinal 


13359 S04T0476 MCFourGoal 
13360 50470095 WCF ourGoal 
L15664 50649974 WCF ourGoal 
ZT4d23 51135731 WCFomurGonl 
29125 51298019 WCFomGoal 
29126 51294068 WCF ourGoal 
29127 51292588 WCFourGoal 
29129 51291653 WCFourdosl 


11011 
11011 
11011 
1i011 
11011 


UserName LotteryPri: hddlime 
13873 


1235490566 


60717 matac7 
605434 小 腊 眉 图 轿 
B31 373 east owen 

SSE00 tooB 


147691 坤 伯 Szolood ， 


TIBd26 1888818838 


13d806 Gas 


134826 S213 


599412 红 树 西 岸 520 


150352 红 
125365 宾 诅 羊 
125672 lvlei0011 


166064 848333 
4891 力 超 杨 蛙 


12 师 490566 
12%5490566 
二 2 有 41490566 


4120641369 
1 的 4 旨 369 


29129 51291653 WCF ooal 
29130 S1292102 WF ourGoal 


31120 seasum 


728906 1 dk20rrg00dl 
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29131 511201€] WF orGoal 


(十 一 ) 以 上 得 到 的 所 有 涉案 证 据 文件 均 刻 录 成 证 据 光 盘 。 
2014 年 7 月 22 日 17:30 结束 鉴定 过 程 。 
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电话 : 0XXX-8805X2XX 


第 11 页 / 共 13 页 


434 电子 数据 取证 


控制 编 县 : JL-61 X 公 电 鉴 放 [201 和 J 第 XX 号 第 一 版 第 0 次 修订 
三 、 检 验 鉴定 意见 
(一 ) 根据 以 上 分 析 和 鉴定 过 程 ， 送 检 检 材 中 发 现 涉案 合同 
doc 文本 文件 4 个 。 其 中 ，3 个 使 用 Encase V6. 17 提取 ，1 个 使 


用 Winhex 软件 恢复 。 均 保存 在 证 据 光 盘 中 。 话 见 下 表 : 


提取 方式 
贝 博 合同 20130401. doc | Encase V6.17 提取 | | 
贝 博 合同 20130625. doc | Encase V6.17 提 了 | | 


损坏， 已 修复 
Winhex 软件 恢复 “| 文件 名 为 系统 随机 生成 


(二 ) 根据 以 上 分 析 和 长 定 过 程 , 送 检 检 材 中 发 现 涉案 彩票 类 
金 统计 xls 表格 文件 5 个 。 其 中 ，2 个 使 用 Encase V6. 17 提取 ， 
1 个 在 压缩 文件 “betball prizelist score. rar” 中 提取 ，1 
个 在 有 密码 的 压缩 文件 “betball 13051. rar” 中 提取 ， 还 有 1 
个 使 用 Winhex 软件 恢复 。 均 保存 在 证 据 光 盘 中 。 详 见 下 表 : 


betball prizelist_halffour. xls Encase V6. 17 提 好 天 
betball_prizelist_totalgoals. xls Encase V6. 17 提取 


betball_prizelist_score. xls 压缩 文件 
betball prizelist score. rar 


中 提取 


rT es xls 带 密 的 压 缩 文 忻 | 压 六 密 古 : 
betball_13051. rar 中 提取 63649544 

00002. xls Winhex 软件 恢复 文 性 名 为 系统 
随机 生成 


(三 ) 根据 以 上 分 析 鉴 定 过 程 ， 送 检 检 材 中 发 现 涉案 彩票 统 


计 截 图 png 文件 5 个 。 其 中 ，2 个 使 用 Encase V6. 17 提取 ，1 
个 在 压缩 文件 “betball prizelist score. rar” 中 提取 ，1 个 


地 址 : 双 市 到 路 XX 号 第 12 页 / 共 13 页 
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在 有 密码 的 压缩 文件 “betball 13051. rar” 中 提取 ， 还 有 1 个 


使 用 Winhex 软件 恢复 。 均 保存 在 证 据 光 盘 中 。 详 见 下 表 : 


文件 名 提取 方式 
betball13045. png Encase V6. 17 提 了 得 0 
betball13050. png Encase V6. 17 提取 和 


压 纠 文件 betball prizelist_score. rar 
中 提取 

带 密码 的 压缩 文件 betball_13051. rar 
中 提取 63649544 


(以 下 无 内 容 ) 


Lh 
加 
二 


鉴定 人 【〔 签 字 ); XXX 
答 定 人 【〔( 签 字 ): A 
授权 签字 人 【〔 签 字 让 一 、XXX 


附件 : 电子 证 据 光 盘 壶 张 。 


本 检验 鉴定 机 构 声 明 : 

1、 本 检验 鉴定 意见 仅 对 受理 的 检 材 和 样本 有 效 ; 

2、 如 对 本 检验 鉴定 意见 有 任何 异议 或 者 疑问 请 尽早 与 本 检验 鉴定 机 构 取 得 联系 ; 
3、 未 经 本 检验 鉴定 机 构 的 书面 同意 任何 单位 或 者 个 人 不 得 复印 本 检验 鉴定 意见 。 
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